事件回顧和分析
一封看似合理的電子郵件引發(fā)了2016年6月份最大的安全事件—JTB被未知黑客入侵盜取793W客戶信息��。此次事件���,自JTB2016年6月15日宣布被未知黑客入侵以來持續(xù)發(fā)酵,相關(guān)報不絕于耳��。綜合各方面的信息材料����,基本可以還原出整個JTB被入侵的全過程。
根據(jù)日經(jīng)新聞報道���,此次入侵事件存在以下幾個關(guān)鍵時間節(jié)點:
3月15日JTB員工打開釣魚電子郵件�,辦公電腦被黑客植入木馬
3月20日 第三方安全企業(yè)發(fā)現(xiàn)異常流量,但未引起JTB特別關(guān)注
3月21日 黑客開始抽取數(shù)據(jù)庫中的核心信息
3月25日 黑客把數(shù)據(jù)庫信息向外傳輸完畢
4月01日 發(fā)現(xiàn)黑客盜取數(shù)據(jù)留下的痕跡
6月10日 JTB確認此次黑客入侵損失
根據(jù)對該病毒程序的樣本分析��,可以重演黑客如何利用感染的商品信息控制服務(wù)器對“實用數(shù)據(jù)庫”進行攻擊����,獲取數(shù)據(jù)。下圖描述了plugx在入侵pc機����,感染內(nèi)網(wǎng)多臺服務(wù)器后,如何從數(shù)據(jù)庫中盜取核心數(shù)據(jù)。
1�����、商品信息控制服務(wù)器被黑客的木馬通過內(nèi)網(wǎng)感染�,木馬將自己設(shè)置成名為QUEST software TOAD的進程。該木馬會調(diào)用fmtoptions程序和相應(yīng)的組件(通過替換dll文件植入惡意程序)��,被攻擊的fmtoptions 程序建立了80端口的http服務(wù)�。
2、海外的C&C(通訊與命令)服務(wù)器�����,通過該服務(wù)器上開放的http協(xié)議與被感染的fmtoptions程序進行通訊�,發(fā)送經(jīng)過壓縮加密的命令到商品信息控制器。由于商品信息控制器被數(shù)據(jù)庫服務(wù)器所信任���。從而登錄“實用數(shù)據(jù)庫”����,對數(shù)據(jù)庫進行批量導(dǎo)出或混淆式導(dǎo)出����。
3、導(dǎo)出的數(shù)據(jù)集被fmtoptions程序保存為CSV文件��,通過web集群向未知的服務(wù)器發(fā)送數(shù)據(jù)����。CSV使用后,會立即刪除�,隱藏黑客入侵的痕跡。
RAT(遠程訪問木馬)的新特征
RAT(remote access Trojan)是一種常見的攻擊手段����,入侵者可通過此類攻擊達到竊取核心數(shù)據(jù)的目的,此次事件正是一次典型的RAT攻擊�����。
對比以往的RAT攻擊,此次安全事件暴露出新版本和以往不同的特點����,而這些新特點也給我們帶來了新的安全挑戰(zhàn)。
特點一:目標明確�,洞悉內(nèi)網(wǎng)環(huán)境
此次JTB遭遇黑客從入侵到結(jié)束,總共用時11天���。這說明黑客對JTB及其子公司內(nèi)網(wǎng)部署結(jié)構(gòu)和安全措施有相當深入的了解�����。并不像常見RAT那樣采取被動的隱藏的方式通過長期的潛伏緩慢獲取數(shù)據(jù)��。而是采用了一種主動的方式(可能是fire hosed方式)��,快速獲取目標數(shù)據(jù)����,并通過多臺JTB機器向黑客控制服務(wù)器傳送被盜數(shù)據(jù)信息����。
特點二:黑客工具針對性強
根據(jù)JTB的公開說明,此次被植入的惡意后門是plugx���。這是一款從2012年就被廣泛使用的惡意后門�����。根據(jù)Sophos實驗室首席研究員Szappi報告指出有一個變種的plugx從2013年開始就專門針對日本地區(qū)��。這個變種的一個顯著特點就是使用了大量僅在日本本地流行的軟件漏洞�。例如:Plugx原本用于本地系統(tǒng)提權(quán)的漏洞是利用了Microsoft Word存在的漏洞���,但這個變種則是使用了日本人廣泛使用的太一朗文字存儲器存在的漏洞����。
我們有理由相信�,Sophos實驗室提到的這個plugx變種很可能正是JTB遭到的惡意后門。這也揭示出了現(xiàn)在RAT攻擊采取的技術(shù)會更加專業(yè)化���,不再面向通用軟件�。而是根據(jù)當?shù)氐奶厣踔聊繕似髽I(yè)的特色制定專門適合當?shù)氐娜肭周浖?/p>
特點三:數(shù)據(jù)獲取手段隱蔽
此次黑客獲取數(shù)據(jù)庫中數(shù)據(jù)采用了可信工具直接訪問數(shù)據(jù)庫提取出關(guān)鍵數(shù)據(jù)的間接方式。并沒有在數(shù)據(jù)庫服務(wù)器上安裝后門程序�����。這種通過可信機制獲取數(shù)據(jù)庫信任得到數(shù)據(jù)的方式���。既隱蔽了自己的行蹤�,又分散了數(shù)據(jù)的流量給數(shù)據(jù)泄露的追查工作也帶來了更大的挑戰(zhàn)�。
暴露的安全問題以及解決方案
回顧整個事件發(fā)現(xiàn)黑客的攻擊手法和強度都有不小的提升。整個事件僅11天黑客就完成了盜取數(shù)據(jù)庫數(shù)據(jù)的過程����,而JTB則花費了90多天才確定此次黑客盜取的信息。我們在惋惜JTB的不幸遭遇和驚嘆于黑客技術(shù)升級迅速的同時��。更為重要的是通過此次JTB暴露的安全問題��,我們可以從中吸取什么教訓(xùn)���,來避免類似事件在我們自己身上發(fā)生�。
通過此次事件暴露出數(shù)據(jù)安全面臨的3類典型安全隱患。
缺乏對核心數(shù)據(jù)的專業(yè)保護能力
內(nèi)網(wǎng)安全管控能力不強
企業(yè)安全意識薄弱
缺乏對核心數(shù)據(jù)的專業(yè)保護能力
核心數(shù)據(jù)對于企業(yè)的價值越來越重要��。核心數(shù)據(jù)往往被存放在數(shù)據(jù)庫服務(wù)器中�。因此數(shù)據(jù)庫服務(wù)器的防護能力必須加強。數(shù)據(jù)庫的防護的關(guān)鍵可以分為四個核心部分
1����、數(shù)據(jù)的風險感知,及時發(fā)現(xiàn)異常行為
數(shù)據(jù)庫面臨的風險來自方方面面����,感知風險是面對風險的關(guān)鍵的一步�;如果在黑客開始攻擊數(shù)據(jù)庫的第一時間就感知到異常,完全可以立即發(fā)出警告并找到準確的攻擊來源���,采取措施���。JTB在數(shù)據(jù)庫服務(wù)器和應(yīng)用之間缺乏一種對sql語句行為判斷的有效過濾工具(數(shù)據(jù)庫防火墻),對訪問數(shù)據(jù)庫信息的語句沒有管控能力�,導(dǎo)致黑客在取得可信Ip和數(shù)據(jù)庫用戶信息后,能夠利用數(shù)據(jù)導(dǎo)出工具對數(shù)據(jù)進行肆意獲取��。
數(shù)據(jù)庫防火墻可以提供一種有效的感知風險的方式����。通過對應(yīng)用系統(tǒng)和數(shù)據(jù)庫之間的數(shù)據(jù)訪問行為進行學(xué)習(xí)��,而形成應(yīng)用和數(shù)據(jù)庫之間的語法結(jié)構(gòu)模型(應(yīng)用的行為模型)����。最終只允許嚴格符合模型中語法的sql語句從數(shù)據(jù)庫中獲取信息�����。一旦發(fā)現(xiàn)有不符合原語法模型的新型SQL產(chǎn)生����,很可能標志著應(yīng)用系統(tǒng)遭到了跨站劫持、惡意代碼或注入攻擊等�。對于新型的sql語句進行警告并控制,并記錄下該行為的來源(IP地址和程序名稱fmtoptions)�����,作為審查的線索��,從而在第一時間發(fā)現(xiàn)異常行為���,感知風險�����,進行響應(yīng)����。
2、細粒度訪問控制�����,對非常規(guī)請求進行限制
數(shù)據(jù)庫防火墻不但可以對異常語句在入侵到數(shù)據(jù)庫前及時作出分辨��。還可以通過細粒度的訪問控制有效的約束對數(shù)據(jù)庫的訪問行為��,并且對符合規(guī)范的請求語句����,在結(jié)果集上作出限制�����。JTB這個事件中雖然無法直接證明��,但黑客獲取數(shù)據(jù)庫數(shù)據(jù)很可能是通過數(shù)據(jù)庫信任的數(shù)據(jù)分析采集系統(tǒng)進行的�。雖然請求語句是可信的,但如果黑客一次導(dǎo)出大量的結(jié)果集。數(shù)據(jù)庫防火墻則會根據(jù)結(jié)果集行數(shù)限制的規(guī)則對操作進行阻斷或攔截并提醒相關(guān)人員數(shù)據(jù)庫中有異常流量��。及時的阻斷和攔截將有助于減小數(shù)據(jù)庫外泄信息的條數(shù)�����,減小企業(yè)損失�。
3、數(shù)據(jù)操作審計��,實現(xiàn)安全追責和損失收集
JTB的數(shù)據(jù)庫同時缺乏數(shù)據(jù)庫審計工具�����。數(shù)據(jù)庫審計工具多采用旁路的部署方式�����,對數(shù)據(jù)庫性能毫無影響����。可以審計到數(shù)據(jù)庫上所有的流量���。不怕黑客進入數(shù)據(jù)庫后刪除日志文件�����。數(shù)據(jù)庫審計工具會清楚的顯示出所有對數(shù)據(jù)庫的請求和數(shù)據(jù)庫的回復(fù)��。一旦出現(xiàn)類似JTB的數(shù)據(jù)庫數(shù)據(jù)泄露事件�����?��?梢栽诘谝粫r間調(diào)取數(shù)據(jù)庫審計產(chǎn)品����,確認黑客到底拿走了什么數(shù)據(jù)����。不需要花費將近3個月的時間去恢復(fù)CSV文件才能確定黑客給企業(yè)造成的損失���。更重要的是不會造成消費者的恐慌心理��。減小整個數(shù)據(jù)庫泄露事件對企業(yè)的負面影響�����。并給安全機關(guān)提供有效的追查方向����。
4、核心敏感數(shù)據(jù)實施必要的加密
JTB在存儲數(shù)據(jù)的時候也犯了一個錯誤��。不應(yīng)該把核心信息存儲成明文����,而應(yīng)該存儲成密文,且采用基于上下文語境的強制訪問控制來保護核心數(shù)據(jù)��。在最壞的時候也能保障用戶的核心信息不外泄�����。黑客即便拿到核心數(shù)據(jù)���。但都是密文�,同樣也無法利用��。
內(nèi)網(wǎng)安全管控能力不強
企業(yè)對于外網(wǎng)的防護往往是不遺余力的�����,而對內(nèi)網(wǎng)的檢測和管控則或多或少都存在一些漏洞。Plugx在入侵了內(nèi)網(wǎng)的一臺PC機后會����,利用這臺PC機作為跳板在整個內(nèi)網(wǎng)中傳輸含有plugx的木馬程序。感染整個內(nèi)網(wǎng)環(huán)境�����。如果采取更完善的內(nèi)網(wǎng)環(huán)境的隔離和動態(tài)檢測����。相信不會這么大面積的感染內(nèi)網(wǎng)環(huán)境中的機器,致使企業(yè)的賬號密碼都被plugx通過鍵盤記錄器收集����。以至于最后核心數(shù)據(jù)庫被盜取。
企業(yè)安全意識薄弱
企業(yè)安全意識不強主要表現(xiàn)在兩個方面上:1.從體制上����,企業(yè)缺乏專業(yè)的安全團隊保障整個企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)����、應(yīng)用及系統(tǒng)安全�。由于體制上的缺乏�����,導(dǎo)致了黑客入侵難以被發(fā)現(xiàn)�。被發(fā)現(xiàn)也不會及時重視���。一再貽誤戰(zhàn)機�����,最終導(dǎo)致793W數(shù)據(jù)外泄����。2. 企業(yè)缺乏相關(guān)安全意識培訓(xùn)��,致使員工安全意識薄弱�。員工缺乏分辨釣魚郵件的能力?�;貜?fù)郵件出現(xiàn)異常也未引起察覺�。管理層也對安全威脅重視程度不足。早在19號第三方安全企業(yè)已經(jīng)發(fā)出安全警告����。管理團隊僅采用對web服務(wù)器進行隔離���、添加黑名單等治標不治本的手法。而沒有在第一時間發(fā)現(xiàn)攻擊的根源���,導(dǎo)致本來可以減小的損失���,并沒有減小。
反思與總結(jié)
對比JTB的三大失誤和此次黑客入侵工具的三大特點不難看出��。企業(yè)和黑客之間的戰(zhàn)爭正在悄然無息的全面升級�����。黑客越來越專業(yè)化�,甚至根據(jù)不同的目標進行工具的優(yōu)化。在整個企業(yè)安全的長城上尋找一絲一毫的切入口�。任何一個缺陷最后都可能成為整個數(shù)據(jù)泄露的罪魁禍首。同樣對于企業(yè)來說�����,隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展����,隨著大量業(yè)務(wù)的互聯(lián)網(wǎng)化。來自網(wǎng)絡(luò)的威脅將逐漸成為未來企業(yè)將面對的最大威脅�。如何解決好來自網(wǎng)絡(luò)的威脅將成為困擾廣大企業(yè)用戶的長期問題。企業(yè)要想最終贏得這場與黑客之間的戰(zhàn)爭必須克服JTB犯的2大問題:一個是人的安全意識的問題�����、另外一個是核心數(shù)據(jù)的風險感知和安全防護的問題���。不提高工作者�、管理者��、消費者的安全意識�,安全永遠是句空話。安全符合木桶原理��,決定安全度的永遠不是最長的板�����,而是最短的板��。太多企業(yè)很注重自己的外網(wǎng)安全�����。但對內(nèi)網(wǎng)安全特別是數(shù)據(jù)安全則重視程度并不足夠。其實這是一種本末倒置的想法����,黑客入侵企業(yè)網(wǎng)絡(luò),最希望的訴求就是獲取數(shù)據(jù)庫中的核心數(shù)據(jù)���。當黑客進到內(nèi)網(wǎng)遇到幾乎“裸奔”的數(shù)據(jù)庫服務(wù)器�,興奮程度可想而知���。試想如果JTB在數(shù)據(jù)庫前有數(shù)據(jù)庫防火墻����,數(shù)據(jù)庫中的數(shù)據(jù)庫恐怕沒有這么容易被盜?。煌瑯尤绻嗅槍?shù)據(jù)庫的審計產(chǎn)品相信JTB也不會為了弄清楚黑客從數(shù)據(jù)庫中拿了什么���,而花費近3個月的時間��。給客戶帶來恐慌���,給企業(yè)帶來信任危機����。哪怕JTB用數(shù)據(jù)庫加密產(chǎn)品對數(shù)據(jù)庫中關(guān)鍵字段加密��,不是明文存放�,至少保證客戶信息在一段事件內(nèi)的安全�。期間通知客戶進行修補,也能最大限度的避免損失��。但可惜的是JTB對數(shù)據(jù)庫什么都沒做�,于是黑客毫不費力的拿到了793W條核心數(shù)據(jù)。
你的企業(yè)想成為下一個JTB嗎��?不想就請給你的數(shù)據(jù)庫加上安全防護吧�,它遠沒你想的安全。
產(chǎn)品咨詢:4000 258 365 
