安全快讯
近日,18岁黑客入侵美国网约车巨头Uber公司的瓜是一茬又一茬,曝光内容可谓细节爆表,其转折之多堪比国外甄嬛传。
造成大家纷纷围观的原因也很简单,一来是本次攻击黑客为18岁,且表示黑进Uber仅仅是为了好玩,嘲讽技能满分;二来作为一家市值超过600亿美元的上市公司,安全防护能力在一次并不复杂的攻击之下居然如此脆弱。
本次攻击甚至导致Uber内部通信系统短暂关闭,更糟糕的是黑客还访问了Uber在亚马逊和谷歌云计算平台的运行环境,而此动作极大可能会泄漏Uber的大量客户信息。
(攻击者曝出Uber在aws云平台的登录页面)
其实早在2016年Uber就曾发生过重大网络事件,黑客入侵Uber且获取了数百万乘客的个人隐私,包括姓名、电子邮箱、电话号码,网约车司机的牌照等信息也同时被盗。事件发生后,Uber对社会采取隐瞒措施,一直到一年后才公开。一系列的攻击事件加之安全管控不完善,且后续处理不当对公司造成巨大损失及不利影响,导致Uber相关高管被刑事指控。无独有偶,16年事件与近期攻击都涉及到“HackerOne”,Uber在HackerOne的官方账号被黑意味着攻击者可以看到其他黑客们向平台提交的所有关于Uber公司的安全漏洞细节。
(Uber在社交平台对此次攻击事件的声明)
对于此次事件我们大致梳理了相应攻击流程
1、Uber员工感染恶意软件,导致员工凭据被泄漏
2、涵盖Uber员工凭据的文件被放在暗网进行售卖
3、黑客从暗网购买该文件
4、黑客从文件中挑选合适的员工进行下手,使用该员工凭据为自己的设备注册MFA提醒
5、当DUO持续不断地向目标员工发送MFA新设备绑定的提醒时,黑客在Whatsapp上伪装成Uber的IT,表示如果不想一直接受MFA的该条提醒,只需要点击Accept
6、当Uber员工点击Accept后,成功为黑客的设备注册了MFA的提醒
7、黑客使用该方式顺利通过VPN的MFA二次认证登陆进Uber公司内网
8、黑客进入内网后,通过内网扫描发现一个内部的网络共享,其中包含一个具有PAM管理员账户凭据的脚本文件
我们不难发现,每次网络攻击都始于利用攻击面中的薄弱点进入受多重安全设备保护的内部网络、域、敏感系统等。为了阻止攻击者跨越网络边界,每个企业都会部署大量的安全设备,包括防火墙、邮件网关、VPN等。基于边界网络控制的这种策略,可以阻断大量的网络攻击,但一旦攻击者突破边界,薄弱的内部网络及大量的基础设施、业务系统将完全暴露在攻击者的视野中。
在Uber事件中,一个员工凭据的泄漏,意味着为攻击者打开了通往Uber网络世界的大门。PAM凭据的泄漏,意味着攻击者将成为Uber大量系统的控制者。
随着攻击导致传统网络边界防护的崩解,攻击者在内网的攻击思路将由单点突破变为利用特权身份批量横向移动,而这种攻击往往是使用特权账号的正常登录行为,这种攻击在行为特征上来看也是非恶意的。部署在内网的NDR以及在业务系统边界的WAF等均难以识别此类行为,传统的终端安全更无法对此类身份向的恶意利用做出有效检测。
一个亟需关注的防御面在我们面前徐徐展开——”身份威胁检测和响应”(ITDR)。
