微步在线发布报告《美国云计算厂商Citrix被黑事件分析》

TAG:密码喷洒、Password Spraying、数据泄露、伊朗、Citrix、APT33、IRIDIUM TLP:白(报告使用及转发不受限制) 日期:2020-03-13

背景

在2018年10月至2019年3月间近5个月的时间里,据称有伊朗背景的黑客组织潜伏在Citrix内部,窃取了超过6TB的敏感数据。Citrix被黑源于一种鲜为人知的名为“密码喷洒”的攻击技术。本文将对“密码喷洒”进行深入分析,内容包含此攻击为何有效、攻击流程、典型事件、以及如何检测和防范,以期读者对此攻击形成认识并引起重视,避免受此类攻击殃及。 Citrix是一家主营软件和云计算的科技公司,主要提供数字化工作空间平台,为包含99%的财富500强企业在内的400000个组织,超1亿用户提供服务。Citrix被黑事件画像如下:
事件类型 数据泄露
相关攻击 Resecurity在2018年12月28日向Citrix告知,称伊朗黑客潜伏多年,窃取了至少6TB数据,包含电子邮件、网络共享中的文件,Citrix先是承认后又否认
攻击者 据称是伊朗背景的IRIDIUM
攻击向量 密码喷洒Password Spraying
攻击目标 Citrix
攻击成果 公司相关雇员、员工、实习生和合同工等及其家人的个人和财务信息(具体包括社会保障号码及其他税收标号、驾照号、护照号、财务账号、支付卡号及/或有限的医疗保险信息),内部文档等被盗。
潜伏时间 2018/10/13-2019/3/8
影响范围 Citrix公司相关雇员、员工、实习生和合同工等及其家人,Citrix客户
潜在影响 供应链攻击、财务欺诈、数据泄露、声誉损失

“密码喷洒”是什么?

“密码喷洒”即Password Spraying,此攻击方式于2017年被提出。“密码喷洒”是指利用单个常用或精心构造的密码对多个账户进行登录尝试,然后如次往复。由于单个账户的登录尝试间隔较长,能有效规避一般的账户锁定策略。 相比爆破,密码喷洒可以说存在感极低,二者对比如下:
对比 密码喷洒 密码爆破
本质 单个密码对多个账户 多个密码对单个账户
目的 获取目标组织某些账户的访问权限 获取目标账户的访问权限
特点 对单个账户而言,属于慢速攻击,能有效规避一般的账户锁定策略 短时间对单个账户进行大量登录尝试,极易被锁定
成功率 与密码构造,组织账户数量,以及组织密码管理策略息息相关 与账户锁定策略,以及字典的构造息息相关

 “密码喷洒”为什么有效?

攻击者角度:“密码喷洒”本身是一种有效、成本低廉且曝光度低的攻击。 受害者角度:多数受害者对“密码喷洒”不了解或不够重视,同时存在密码管理不规范和一些基本安全措施实施不到位的情况,暴露了攻击面。 客观事实:弱密码和易猜解密码的广泛存在,为之创造了温床。 “密码喷洒”攻击之所以成功,是因为对于任何给定的大量用户而言,很可能会有一些用户在使用非常通用的密码。人总是厌恶复杂的,记忆尤其如此。人们倾向重复使用简单易记甚至默认的密码,这导致弱密码现象的广泛存在,加之人类行为一定程度上的可预见性,这使得“密码喷洒”是一种看似简单却十分有效的攻击方式。 企业越大、员工越多,就可能暴露越多的攻击面,而如果没有严格执行密码安全策略,则弱密码现象就越常见,因此在遭到“密码喷洒”攻击时也就越容易被攻陷。 弱密码即容易破解的密码,包含字符较少、常见姓氏、临近键、通用密码、默认密码、以及能在常用字典和默认字典中被发现的密码。 根据英国国家网络安全中心NCSC在2018年的一份研究调查报告,排名前1000个密码中包含75%参与组织的账户密码,排名前10000个密码则包含了87%的账户密码。 下图为SplashData自2011年始,根据每年泄露的数百万个密码统计而来的历年TOP 25常见密码。在2016年的统计中,TOP 25占总共调查密码的10%以上,其中最常见的“123456”约占4%。虽然这份数据主要来自北美和西欧,不能代表全网被泄露密码的情况,但由此也可窥一斑,弱密码使用现象之普遍。有趣的是,“123456”已霸榜多年,“password”常年高居前三,其变体也是常年位居前列。
1.jpg
弱密码在各行各业都广泛存在,根据乌克兰记者Александр Дубинский在2018年9月25日的爆料,乌克兰武装部队的第聂伯罗军队自动化控制系统的服务器用户名和密码分别为“admin”和“123456”。另外,据称在发现这个安全隐患之后数月都没有得到解决。这种对安全问题的漠视,可以说是埋下了一颗定时炸弹,导致在遭到网络攻击时极易造成机密被窃等严重后果。 根据ImmuniWeb在2019年10月对暴露在暗网的世界财富500强公司的2100万个登录密码的分析,去重之后只有490万,这表示存在密码大量重复使用的情况。进一步的分析表明,科技、金融、医疗、能源、电信、零售、工业、运输、航空和国防等各行业的弱密码均占30%以上,而其中不少雷同密码是因为未改变默认密码导致。相关行业及弱密码占比如下:
2.jpg
Github上存在大量开源的Password Spraying利用工具,这客观上也降低了黑客的攻击成本。
3.jpg

攻击过程

“密码喷洒”通常只是网络攻击活动的一环,一般用于获取账户的初始访问权限,以此为跳板进行侦察、数据窃取和渗透。“密码喷洒”的典型攻击流程如下,企业可以针对其攻击流程制定不同的策略进行防范。 1、 信息收集:通过搜索引擎等进行在线数据收集,如进行Google Hacking、对社交媒体和LinkedIn等公开渠道进行在线研究,以获得目标组织的电子邮件等账户。 2、 寻找攻击面:寻找Webmail、RDP、ADFS(Active Directory联合身份验证服务)和Office365等服务。 3、 构造密码:利用弱密码、默认密码、泄露数据,甚至根据目标的地域和行业等特点,针对性构造用于攻击的密码。 4、 执行攻击:利用公开或私有工具对收集的大量账户执行“密码喷洒”攻击。 5、 攻击成功:一旦攻破一个账户,将尝试下载全局地址列表(GAL),并继续针对GAL列表账户进行更大规模的攻击。 6、 数据窃取:根据服务的不同,攻击者利用获取的账密,可以获得目标电子邮件数据和GAL,以及ADFS和RDP等的访问权限。进一步则可以进行渗透攻击、以及对邮件等进行分析提取机密信息。 下面以一个案例进行具体分析。 根据Microsoft检测和响应团队DART近期的一份报告,某大型跨国企业遭到“密码喷洒”攻击,黑客在其内部潜伏了240余天,窃取了大量机密数据。该企业被攻陷并潜伏如此之久,主要源于该企业没有使用多因子认证、密码安全策略缺失,且更为严重的是内部系统居然没有开启日志和VPN监控,导致发现异常之后却一直没有找到入侵点。有趣的是,该组织同时还被另外5个APT攻陷。此次事件还原如下:
时间(天) 攻击者操作
1-11 通过“密码喷洒”攻击获取了没有多因子认证的Office365管理员账密,Office365是基于云的办公协作套件,囊括Word、Excel、PPT、Exchange邮箱等常用办公软件服务
16-163 利用Office 365管理员权限,在公司员工的邮箱里面搜索邮件; 使用窃取的凭据通过VPN接入内部网络,继续搜索知识产权。
137-218 更改搜索和渗透技术,利用现有系统(就地电子数据展示eDiscovery、合规性搜索、Microsoft Flow)自动窃取搜索结果。
137-143 在公司的IT环境中创建规则,以自动将数据泄露到第三方云服务器上。

典型事件

微步情报局监测发现,截至目前,网络上已披露多起“密码喷洒”相关的网络攻击事件。有趣的是,这些攻击事件多数都与伊朗相关。我们相信,这应该只是冰山一角,还存在更多的事件未被发现。 近年来一些影响较大的“密码喷洒”相关的攻击事件如下: 事件一:伊斯兰革命卫队进行大规模网络盗窃活动 2018年3月23日,美国司法部起诉了伊朗Mabna研究所和9名伊朗人,指控这几人代表伊斯兰革命卫队进行大规模网络盗窃活动。被告包含Mabna研究所的领导人、承包商、合伙人、雇佣黑客和附属公司。Mabna研究所位于德黑兰,成立于2013年左右,Mabna充当承包商和雇用黑客的中介,与伊朗政府和私人实体合作,为其进行黑客活动,尤其是伊斯兰革命卫队(IRGC),并协助伊朗大学和科研组织窃取非伊朗的科学资源。 根据起诉书,这几人从2013至2017年末,利用鱼叉攻击、网络钓鱼和密码喷洒进行网络攻击活动,最终成功入侵了分布在21个国家和地区的320所大学,以及47家私营部门和政府机构,窃取超过31TB的数据,这其中包含大学系统中所有类型的学术数据和知识产权,如期刊、论文和电子书等,据称这些数据价值高达34亿美元。此外,Mabna相关人士还建立网站,向伊朗境内的公立大学和机构等客户出售被盗数据,以及出售被盗的大学教授的账户访问权限进行牟利。 起诉书如下:
4.jpg
事件二:黑客在Citrix内部长期潜伏,疑似窃取超过6TB数据 2019年3月6日,FBI联系Citrix,称有国际网络犯罪份子可以访问Citrix内部网络,使用了一种名为“密码喷洒”的攻击技术。 2019年3月8日,Resecurity发布报告,称伊朗相关的IRIDIUM组织攻击了200多家政府机构、石油、天然气以及Citrix在内的软件公司。Resecurity在2018年12月28日向Citrix通报了数据泄露的预警,称伊朗黑客潜伏多年,窃取了至少6TB数据,包含电子邮件、网络共享中的文件等,Citrix先是承认后又否认。 下表为针对Citrix成功进行“密码喷洒”后获得的GAL列表,包含31738条记录,攻击者利用进行了进一步的侦察和账户渗透。
5.jpg
2020年2月10日,最新消息表明,黑客在Citrix内部潜伏了五个月之久!大量白宫、FBI机密恐被窃取。 事件三:ACSC通报澳大利亚组织遭受“密码喷洒”攻击 2019年8月5日,澳大利亚网络安全中心(ACSC)声称澳大利亚组织正面临比平时更高的旨在破坏公司电子邮件和网络帐户的“密码喷洒”攻击。 事件四:APT33针对美国工业控制系统、电力、天然气、公用事业等进行持续的“密码喷洒”攻击 2019年11月20日,据Microsoft声称,在过去一年中,APT33进行了广泛的“密码喷洒”攻击,并在最近两月将目标范围缩小到每月2000个组织,而针对具体组织的账户数量却上升了近十倍。根据账户数量进行排名,发现前25名中有一半是工业控制系统设备的制造商、供应商或维护商,并表示,自10月中旬以来,APT33的总目标是数十家工业设备和软件公司。 2020年1月8日,Dragos称APT33持续针对美国电力、天然气、公用事业的成千上万个账户进行了密码喷洒攻击。另外还声称同时观察到存在利用VPN漏洞进行攻击的情况,但拒绝透露更多细节。

如何检测

根据前文对“密码喷洒”特性的分析,发现此类攻击具有一些明显特征。简单来说,企业可以从密码、账户、登录失败率等角度进行审查和创建相关规则进行检测发现。 具体而言,企业可以在SIEM等产品中基于以下特征创建报警规则: 同一个密码在定义时间段被用于对大量账户进行身份验证尝试。 设定密码热度阈值,定义时间段内存在较多高热度密码。 在定义的时间段内存在大量的身份验证尝试。通常情况下,在密码喷洒攻击期间,一段时间内的登录失败次数也会明显升高。 存在大量错误的用户名。攻击尝试的账户可能不是真实存在,也可能是通用列表或生成器生成得来。 在定义的时间段内大量账户被锁定。一些攻击者可能在未考虑到账户锁定策略的情况下,针对大量账户尝试不同密码,而导致大量账户被锁定。 登录成功率下降。总体来说,攻击成功率是大大低于失败率的,可以对比单个IP的登录成功和失败率之比。

处置策略及防范建议

网络风险千变万化,“密码喷洒”通常也只是入侵的第一步,除针对此攻击制定策略进行防御外,企业对后续入侵内网的攻击行为也应引起足够重视。企业在建设纵深防御体系时,可以考虑引入威胁情报进行威胁检测。 “密码喷洒”的风险,本质上可以说是企业安全基线建设的问题。而针对“密码喷洒”攻击本身,我们建议企业可以参考如下处置和防范建议。

处置策略:

1. 重置受影响账户的密码; 2. 访问控制和强化; 3. 完善密码策略; 4. 进行密码安全培训。

防范建议:

1. 严格执行合理的密码安全策略,具体包含弱密码杜绝、黑名单、密码复杂度保证、密码到期策略、密码锁定策略和密码重置策略; 2. 启用日志,正确汇总并增加警报和监视; 3. 使用SNMP等可用协议,验证用户访问权限的完整性; 4. 在所有外部访问系统上实行多因子身份验证(MFA); 5. 使用基于非密码的访问方法,如绑定用户和设备,实现无密码访问; 6. 使用微步在线TDP等支持对此类攻击进行检测的安全产品。

总结

从目前观测的到情况来看,“密码喷洒”在当前并未引起足够的重视,但不可否认的是此类攻击确实呈现上升态势。我们推测,不是不存在更多的“密码喷洒”攻击事件,而是可能被忽视或没有被发现。 “密码喷洒”本身是一种低成本但却很有效的攻击方式,其战果往往也很是可观,其危害于企业而言也是不容忽视的。“密码喷洒”最直接的影响是数据泄露,进一步则可能造成内网失陷、财务欺诈、商业机密泄露、供应链攻击以及声誉损失等难以估量的影响。我们推测此攻击在未来将会愈加受到攻击者的青睐,以后也会将有更多的攻击事件被爆出。在此,我们建议企业可根据上文的分析针对性制定策略进行防范。

附录

参考链接 https://www.justice.gov/usao-sdny/pr/nine-iranians-charged-conducting-massive-cyber-theft-campaign-behalf-islamic https://www.fbi.gov/news/stories/nine-iranians-charged-in-hacking-scheme-032318 https://www.us-cert.gov/ncas/alerts/TA18-086A https://web.archive.org/web/20190313082751/https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/ https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/ https://www.cyber.gov.au/threats/advisory-2019-130 https://www.wired.com/story/iran-apt33-industrial-control-systems/ https://www.wired.com/story/iran-apt33-us-electric-grid/?itm_campaign=TechinTwo
0 0 vote
Article Rating

未经允许不得转载:x-sec » 微步在线发布报告《美国云计算厂商Citrix被黑事件分析》

赞 (1) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x