重新定义风险降低：入侵评估如何帮助加强网络防御

组织通常依赖分层防御策略，但漏洞仍然会发生，在不被注意的情况下越过多个级别的保护。这就是妥协评估发挥作用的地方。这些服务的主要目标是降低风险。它们通过执行以下操作来帮助发现活跃的网络攻击以及过去发生的未被注意的复杂攻击：

• 对所有端点进行工具辅助扫描;

• 主机和网络设备日志分析;

• 威胁情报分析，包括暗网搜索;

• 初始事件响应以遏制已发现的威胁。

在本文中，我们从我们的实践中深入探讨了真实案例的根本原因，尽管实施了许多安全控制措施，但组织仍然发现自己受到了威胁。在所有有问题的案例中，入侵评估是成功检测事件的最后一道防线。

漏洞修补过程通常需要时间，原因有很多：从实际的补丁发布一直到识别易受攻击的资产并“正确”修补它们，考虑任何预先存在的资产清单以及负责人是否会及时了解漏洞。有多种因素可能会延迟此过程，包括业务连续性要求的形式，例如，在没有停机时段的情况下无法重新启动服务器。

这就是为什么客户端补丁管理流程不足是我们在入侵评估项目中观察到的事件的最常见根本原因之一。此外，在 2023 年卡巴斯基全球应急响应小组 （GERT） 调查的案件中，有 42.37% 的案件是利用面向公众的应用程序的根本原因。

在调查一个案例期间，我们发现 Web 服务器在攻击者渗透网络一个月后被修补：这种延迟是威胁行为者的宝库，因为该组织没有受到保护，攻击没有被注意到。

• 在破坏服务器后，攻击者立即部署了 SILENTTRINITY C2 舞台。

• 他们尝试在第一天通过 Mimikatz 的自定义打包版本转储凭据，并在第四天尝试将 LSASS 进程内存转储到磁盘。

• 在该月，他们对 SMB 共享进行了内部侦察，直到获得域管理员的凭据。

大多数组织都关注外部威胁;但是，违反策略会带来重大风险，51% 的 SMB 事件和 43% 的企业事件涉及员工违反 IT 安全策略的行为。这里的 “employee” 是指对组织系统具有普通员工级别访问权限的任何人。

在我们的一次入侵评估中，我们确定了一个事件，其根本原因可追溯到签约的网络安全顾问。在中期报告会议期间，我们向客户的董事会提交了一份被盗账户列表（暗网搜索手册执行的结果）以及名单上账户的统计数据。在所有被盗用的帐户中，71% 属于客户的员工，其中 63% 是从公司外部访问的服务中的员工帐户。

有关组织被盗账户的统计数据。来源：卡巴斯基数字足迹情报

该名单包括一个 C 级官员的账户等。由于情况危急，每个人都怀疑警官的笔记本电脑被盗用，我们在会议期间进行了快速调查，发现凭据已从第三方顾问的机器上泄露。董事长使用自己的公司电子邮件在外部系统中创建了一个帐户，并与顾问共享了凭据。由于很明显顾问的笔记本电脑可能包含其他机密数据，因此我们制定了以下战术响应计划。

1. 从顾问的笔记本电脑中收集法医分类包。

o 分析软件包以识别所有泄露的凭据。

o 检查顾问的笔记本电脑是否有恶意软件。

o 运行基于关键字的搜索以识别潜在的泄露文档。

2. 查看组织外部提供的可能受影响的服务的电子邮件/VPN/其他日志，以检测被盗账户的任何异常活动。

3. 仔细检查在被盗用时是否为被盗用的账户启用了多重身份验证。

4. 根据调查结果更新事件响应计划。重置密码并至少在笔记本电脑上安装新的操作系统映像。

通过确保员工和任何有权访问网络的第三方遵守政策，可以防止此事件发生。这说起来容易，但有时会变得棘手，并且需要时间、精力和深厚的技术知识。

通常，MSSP 更侧重于持续监控和警报，而忽略了检测差距识别和可见性增强：定期审查客户的事件审计策略、启用已禁用的日志源或突出显示配置不佳的日志源。例如，X-Forwarded-For HTTP 标头通常未在 Web 服务器上启用。因此，SOC 无法看到连接的原始 IP 并确定攻击源，这使得事件调查复杂化。

在我们的入侵评估实践中，我们经常识别外部 SOC 遗漏的事件。在一个项目中，我们审查了第三方防病毒日志，并发现同一台服务器上存在数天的多个 Webshell 检测。

MSSP SOC 分析师未能发出警报，因为恶意软件每次都被防病毒软件删除。这是一个教科书式的初级错误例子。如果有动机的对手可以通过漏洞访问服务器，他们会尝试一系列技术和策略来尝试绕过安全性。这就是需要人工分析师注意添加额外保护层并防止这种情况发生的地方。

这正是我们的情况：卡巴斯基专家启动了深入的取证分析，发现攻击者在几周内尝试了不同的 Webshell。他们最终找到了一个当时 AV 供应商无法检测到的信号，因此他们能够进入网络。进一步的调查显示，整个域名在几个月内仍然受到威胁。

监控和验证 MSP 或 MSSP 的服务质量通常具有挑战性。合同协议通常会阻止客户访问提供商的内部系统进行彻底审查。此外，客户可能缺乏监督其分包商采取的每一项行动所需的技术专业知识或时间。

MSP 和分包商可能没有足够的网络安全意识，这带来了挑战，他们可能会通过错误配置某些安全控制或不遵循最佳实践，无意中使网络面临网络安全风险。

在入侵后根除威胁行为者需要规划多种操作，以确保从网络或系统中完全消除攻击者：

• 删除攻击者安装的恶意软件、脚本、工具和后门程序。

• 更改被盗帐户的密码并删除攻击者可能创建的任何未经授权的服务帐户

• 回滚可能增加攻击面或引入新漏洞的系统配置

即使在恶意软件被删除后，某些取证工件仍保留在系统中。因此，在入侵评估期间识别过去的攻击是很常见的。攻击者故意引入错误配置的情况较为罕见，但我们偶尔会发现企业事件响应团队无法根除这些程序。

作为 Active Directory 配置审查手册的一部分，Kaspersky 分析师发现了一个具有多个可疑属性的组策略。

1. 修改了每个 AD 账户的 AllowReversiblePasswordEncryption 属性，使域控制器以可解密的形式存储密码（不使用单向哈希函数）。此配置将使攻击者能够通过 DCSync 等攻击以明文形式转储凭据。

2. 禁用对 Kerberos 票据相关操作的审计。此配置将隐藏通过 Active Directory 管理的所有端点上的攻击者登录。

重要的是要记住，当这些产品得到正确安装、配置和集成时，即使是顶级产品的有效性也是最高的。如果没有适当的配置，组织就无法充分利用其网络安全解决方案的潜力，这阻碍了他们创建强大防御的能力。

在我们的入侵评估实践中，我们目睹了下面列出的几个案例，这些案例之所以被检测到，是因为专门的扫描程序与现有的 AV/EDR 解决方案一起部署，从而提供了第二层检测功能。

• 缺少检测规则。客户的防病毒软件无法检测到 pivotnacci webshell，因为供应商没有定义的检测规则。

• 过时的恶意软件签名。客户端防病毒软件无法检测到恶意软件，因为侦听中央更新服务器的网络端口被防火墙阻止，从而阻止防病毒软件接收最新更新。

• 影子 IT。客户的防病毒软件未部署在某些服务器上，因为这些服务器不是 Active Directory 的一部分，因此它们不受保护。