信任关系攻击解析指南

IT 外包市场在全球范围内继续呈现强劲增长态势——此类服务越来越受欢迎。但除了节省时间和资源等优势外，委派非核心任务的需求也带来了信息安全方面的新挑战。通过向第三方公司（服务提供商或承包商）提供其基础设施的访问权限，企业增加了受信任关系攻击的风险——MITRE ATT&CK 分类中的 T1199。

2023 年，信任关系网络攻击位列最常用的三大攻击媒介之一。在此类攻击中，攻击者首先获得服务提供商网络的访问权限，然后，如果他们设法获得连接到目标组织网络的有效凭据，则渗透目标基础设施。在大多数情况下，承包商是受保护程度低于大型企业的中小型企业。这也是 IT 服务提供商吸引攻击者注意力的原因。

信任关系向量对攻击者来说很有吸引力，因为它使他们能够以比其他向量少得多的努力进行大规模攻击。攻击者只需访问服务提供商的网络，即可将其所有客户暴露于网络风险中，无论其规模或行业如何。

此外，使用合法连接的攻击者通常不会被注意到，因为他们在受影响组织基础设施内的行为看起来像服务提供商员工的行为。根据 2023 年的统计数据，只有四分之一的受影响企业在其基础设施中检测到可疑活动（启动黑客工具、恶意软件、网络扫描器等）后发现了事件，而其余企业仅在数据泄露或加密后才发现自己已被第三方渗透。

如何在目标企业和服务提供商之间建立访问权限

任何将承包商连接到目标企业系统的方式（即使是最安全的方式）都是入侵者的潜在切入点。然而，客户公司通常会向服务提供商授予相当多的系统访问权限，包括：

分配用于开展操作的各种系统；
发放用于连接基础设施的访问权限；
创建域账户。

服务提供商与客户之间的通信通常通过 VPN 连接和远程桌面协议 (RDP) 服务进行。使用证书或登录名/密码对设置访问权限，在极少数情况下会添加多因素身份验证。入侵者攻破服务提供商的基础设施后，便可获取目标企业颁发的用户帐户或证书，从而连接到其系统。

许多公司都使用 AnyDesk 或 Ammyy Admin 等远程管理实用程序。大多数这些实用程序允许通过登录名/密码自动访问，但它们很容易受到暴力攻击。此外，如果配置错误，这些实用程序会允许来自任何 IP 地址/系统的连接（前提是您拥有有效的凭据）。

还可以使用 SSH 或 RDP 协议和 IP 地址允许列表来组织对内部基础设施的访问。使用这种方法，无需连接到 VPN，但安全风险会显著增加。例如，暴力攻击的可能性。

与此同时，很难监控服务提供商是否遵守安全政策。例如，承包商可能会将用于连接目标企业网络的凭证以纯文本形式存储在公共目录或 Jira 或 Confluence 等企业信息系统中，而客户的安全服务可能对此并不知情。

攻击者如何访问服务提供商的网络

在我们的事件调查中，不断注意到各种初始攻击媒介的使用，以获取对 IT 外包公司基础设施的访问权限。以下三种最常见的攻击媒介，它们占所有初始攻击媒介的 80% 以上。

最常见的初始攻击方法是利用可从互联网访问的应用程序中漏洞。

因此，为了渗透基础设施，攻击者最常使用 Microsoft Exchange、Atlassian Confluence、CMS Bitrix 和 Citrix VDI 中的漏洞。

第二种最流行的方法是使用泄露的凭证。

在每三起使用此方法的事件中，攻击者都会暴力破解可从外部网络访问的服务的密码：RDP、SSH 和 FTP。在其他情况下，他们使用事件发生前被盗的数据。

排名第三的是定向网络钓鱼。

攻击者不断完善其多步骤计划和社会工程方法，通常使用包含恶意软件的附加文档和档案来渗透网络。

攻击发展

攻击者使用隧道实用程序（命令和控制、协议隧道、T1572）或远程访问软件（命令和控制、远程访问软件、T1219）的原因如下：

首先，这消除了对 VPN 的需求，而 VPN 是通过 RDP 协议连接到目标基础设施中的系统的，就像承包商的员工那样。

攻击者通常在非工作时间活跃，正确配置的监控可以在检测到来自可疑 IP 地址（例如，属于公共匿名服务的 IP 地址）的非工作时间 VPN 连接时向安全人员发出警报。如果检测到此类活动，则相应的帐户很可能会被阻止，因此攻击者将无法访问基础设施。借助隧道和远程访问实用程序，攻击者可以在目标系统中获得安全立足点。

其次，使用此类实用程序对攻击者来说很方便。

网络中的后门为他们提供了对内部基础设施的无阻碍访问；然而，以这种方式与受感染系统交互并不总是很便捷，因此攻击者转向使用实用程序。通过 Ngrok 转发 RDP 端口或通过 AnyDesk 连接，攻击者能够更轻松地与受感染系统交互。

第三，这些实用程序很难追踪。

Ngrok 和 AnyDesk 是合法实用程序，它们不会被防病毒工具检测为恶意软件，并且经常用于合法目的。此外，它们允许攻击者在受感染的系统中隐藏连接源的 IP 地址。

例如，对于常规 RDP 连接，在 Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx 日志中，我们将看到连接事件 (ID 21) 或重新连接事件 (ID 25)，其中攻击者的 IP 地址将显示在连接源字段中（如果系统可从互联网访问，则为外部 IP 地址，否则为另一个受感染系统的内部 IP 地址）。对于通过隧道实用程序建立的 RDP 连接，日志中的源连接值将为 ::%16777216 – 它不包含有关连接系统的任何信息。在大多数情况下，此工件仅指示通过隧道实用程序建立的连接。

AnyDesk 会创建自己的日志。其中，对事件调查最有用的是 connection_trace.txt 和 ad.trace/ad_svc.trace，因为它们在 Windows 中被这样命名。connection_trace.txt 日志允许您快速识别与所分析系统的连接及其类型（用户、令牌、密码）。

如果攻击者使用 AnyDesk，并且日志指示令牌和密码连接类型，则可以得出结论，攻击者通过密码设置了自动连接，并且在 AnyDesk 运行时，可以随时重新连接到系统。ad.trace/ad_svc.trace 日志包含调试信息，允许您确定建立连接的 IP 地址。但是，值得注意的是，攻击者经常删除 AnyDesk 日志，因此几乎不可能检测到他们的连接痕迹。

实现攻击目标

针对服务提供商和目标企业的攻击的最终目标可能有所不同。例如：

在承包商的基础设施中建立持久性，并尽可能长时间不被发现，以便访问其客户的基础设施。

尽可能长时间不被发现，以获取机密信息（工业间谍活动）。

窃取尽可能多的数据，并在组织的基础设施中部署勒索软件或擦除器以瘫痪其活动。我们在大多数针对目标组织的攻击中都观察到了这种情况。

结论和建议

实践表明，攻击者通常可以在目标企业的基础设施中潜伏长达三个月，并控制不同网络段中的关键服务器和主机。此后，他们才会开始加密数据。这足以让信息安全部门发现事件并对攻击者的行为做出反应。

事件调查结果表明，在绝大多数情况下，防病毒解决方案检测到了恶意活动，但防病毒判定并未得到应有的重视。因此，如果您有内部事件响应团队，请通过培训和网络演习让他们保持警惕；如果没有，请从能够通过适当的 SLA 保证必要服务水平的提供商处订购事件响应服务。

通过信任关系发起的攻击很难被发现，因为：