資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上?為什麼新漏洞出現時沒有發表深入地探討?”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣,不管是組織或個人,就會讓攻擊可以很容易的一再發生。

作者:Natasha Hellberg(趨勢科技資深威脅研究員)

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼,它們進入了更新的技術,然後包含在其他的技術中,我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱,因為“我們一直在用它們,什麼事都沒有發生,所以我們一定是安全的”。

聽起來有點熟?我們總是拿到新東西就直接安裝,完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限,就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運,這些設備有加以防護,可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是,根據趨勢科技FTR團隊所做的研究,有幾十萬放在網際網路上的設備帶有漏洞(就是說可以被入侵)或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

  1. 勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
  2. 資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
  3. 設備/網頁竄改(defacement) – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
  4. DDoS殭屍網路和攻擊激增工具(Booter) – 系統和設備漏洞成為攻擊他人的跳板

一.WannaCry類型攻擊 – 針對網路分享的攻擊

在這類攻擊中,攻擊者利用網路分享散播,並且對所取得的資料進行勒索病毒攻擊。而更糟的是有些網路分享直接暴露在網際網路上 – 在這種情況下,攻擊者在發動攻擊前甚至不需要先取得進入點(透過網路釣魚或某種形式的下載)就可以侵入企業網路。

在2017年五月有一百七十萬台啟用SMB(用於網路分享的協定)的設備暴露在網際網路上,其中有24.9%在美國,19.2%在阿拉伯聯合大公國,其餘的散佈在世界各地。更糟的是,大約有4萬台(13%在美國,11.4%在德國)沒有使用任何形式的身份認證。這意味著任何人只要有網路地址,無需帳號密碼就可以連上這些網路磁碟,甚至不用漏洞就可以進行攻擊。

 

二.資料外洩的三個例子

 

  1. 資料庫表格竟被勒索病毒變更成 “ Wehaveyourdata(我們有你的資料)”

暴露在網際網路上的資料可能有幾種不同的形式。最常見的是面向網際網路的資料庫。MySQL、ElasticSearch、PostgreSQL、MongoDB、SQL服務和CouchDB系統都可以在Shodan上看到。其中任何一個國家內任何一種類型的資料庫就能夠外洩1 TB的資料。攻擊者也知道這點,我們看到許多表格名稱已經被變更成“Contact Me(與我聯絡)”、“Warning(警告)”、“PleaseRead(請讀)”或“Wehaveyourdata(我們有你的資料)”,這些暗示了有許多資料庫都遭受已知發生在2017年春天2017年秋天早些時候新出現的勒索病毒攻擊。

  1. 網路磁碟內的資料,網路公開全都露
    另一個資料暴露的例子是前面所提到網路磁碟暴露的例子。這些磁碟不僅容易遭受上述的勒索病毒攻擊,網路磁碟內的資料也全都露。這些資料已經公開在網路上,根本不需要駭客入侵,任何人都可讀取!我相信有些是設計成這樣,但從Shodan上所看到的磁碟名稱則顯然不是如此。
  2. 暴露在網路上的NAS設備
    第三種資料暴露是放在網際網路上的NAS設備。在寫這篇文章時,有超過24萬台NAS設備以各種形式出現在網路網路上,許多都沒有對SSH或FTP啟用身份認證(存取這些設備的常用方式)。

最後要特別指出的是,這些系統如果位在歐洲或是包含了一名歐洲公民的資訊,很快就會受到GDRP的規範,對這些類型資料暴露的罰款金額會讓一般的組織暫停先思考要如何架構自己的網路。

 

二.網頁竄改(defacement)和駭客

對威脅分析人員來說,研究暴露系統最令人沮喪的是看見有多少台伺服器敞開大門而無須認證。這就像離開而門沒上鎖,讓其他人都可以走進去。我們已經看過了暴露SMB的例子,但企業網路中還有其他部分不僅僅是會暴露在網際網路上,還可以透過網際網路存取。VNC是另一個舊協定用來建立桌面和伺服器連線,研究發現在網際網路上有超過3,000個系統沒有身份驗證。

這問題有多大可以從Shodan上所看到的路由器名稱和網頁伺服器標題看出。出現標題“hacked by…(被某某所駭)”的網頁伺服器數量讓人心碎。在這三種類型中,這類攻擊是能夠讓它很難進行的,只要企業做出基本的努力,如這裡所描述,可以看出有80%的攻擊都是沒有做好這十件事。

 

三.DDoS殭屍網路和攻擊激增工具(Booter

比透過這些暴露系統來侵入攻擊受害者,更糟的是這些系統和設備被用來攻擊其他人。這些日子的大多數攻擊(惡意軟體或其他)都是會反彈到某些地方,特別是使用DDoS殭屍網路和booter(如Mirai這類型)時。而在DDoS攻擊時,攻擊者所愛用的特定舊網路協定會變成攻擊的一部分來“反彈”或反射這些攻擊。

這是因為這些舊協定沒有考慮到安全性,正因為如此,它們會送出比收到更加大量的資料,讓它們在淹沒系統時非常有效。Christian Rossow寫了一篇很棒的報告關於特定協定(SSDP、NTP、DNS、SNMP、NetBIOS、Chargen、QOTD)如何被用來將阻斷服務攻擊增幅成更大的攻擊。當你將這些跟Shodan上所看到暴露的協定結合在一起,你會發現阻斷服務攻擊的狀況可以比我們目前所看到的還要更加嚴重。

 

如果我們不花時間來建立良好的網路習慣,不管是組織或個人,就會讓攻擊可以很容易的攻擊我們自己和其他人。就跟任何商業模式一樣,越難進行以及越少的回報,讓攻擊更不會發生。

 

@原文出處:Our Exposed World – How Exposures Translate into Attacks