尽管棱镜门事件已经过去了近8年,但数据守卫的战争从未停止,服务器数据窃取及其罪魁祸首“后门程序”仍在肆虐。
关于棱镜门
棱镜计划(PRISM)是由美国国家安全局自2007年起开始实施的绝密电子监听计划,2013年6月被前中情局(CIA)职员爱德华·斯诺登向多家媒体曝光,涉及多个国家、多个领域的机密数据窃听。
在棱镜门事件中,跟大众最息息相关的是斯诺登向美国《华盛顿邮报》披露的服务器数据窃听事件,根据斯诺登提交的资料,2007年-2013年6年间,美国国家安全局和联邦调查局通过进入多家网络巨头的服务器,监控公民的秘密资料,影响人数过亿。
尽管涉事方都矢口否认,但棱镜门事件在全球范围引起巨大影响,对服务器数据安全的保护也从企业和个人层面,提升到国家级战略高度。
隔离环境≠绝对安全 棱镜门就在身边
曾有很多IT管理员认为,只要是物理隔离环境,即使服务器被感染后门程序,数据无法外发也形成不了威胁。但随着黑客攻击手段的进步,物理隔离环境也不再安全:
2021年10月据安全媒体报道,以色列内盖夫本古里安大学网络安全研究中心验证了一种新的数据泄露机制,称为LANTENNA Attack,该机制利用以太网电缆作为“传输天线”,从物理隔离系统中窃取敏感数据。该研究中心负责人Mordechai Guri博士进一步解释说,LANTENNA是一种新型电磁攻击,其工作原理是通过物理隔离计算机中的后门程序收集敏感数据,然后通过以太网电缆发出的无线电波编码,附近的软件定义无线电(SDR)接收器以无线方式拦截信号,解码数据,并将其发送给相邻房间的攻击者。
除了电磁攻击外,声音、热感、光学和震动等多种边信道攻击方法,以及给供应链提供的设备维护通道,都可以导致隔离环境的数据泄漏,因此隔离环境早已不再绝对安全。
数据泄漏攻击链
黑客一般利用漏洞上传后门程序,除此之外,在补丁或者其他安装程序中夹带后门也成为常见的后门传播途径。成功入侵服务器后,二进制类后门(MSF、CobaltStrike、Mimikatz、Metasploit等)会执行并收集数据,再通过外带传输、隐秘隧道等方式外传数据,近期备受攻击者追捧的内存马webshell,执行方式更为隐蔽,其攻击原理在内存中写入恶意后门和木马并执行,因为其利用中间件的进程执行某些恶意代码,不会有文件落地,属于无文件攻击的一种,反病毒引擎很难发现,给检测带来巨大难度。
后门虽然隐蔽性强、难以发现,但是做好防上传、防执行、早发现、防外连4项工作,就能有效防御后门利用,杜绝棱镜门发生:
①防上传:切断后门上传途径
后门上传的大部分途径是web流量,但攻击者一般会利用加密webshell等方式做流量混淆,因此一般的waf类设备比较容易被绕过,目前比较有效的方式是基于RASP技术保护WEB中间件,RASP插件一般作用于ASP、PHP、Java等脚本语言解释器内部,通过HOOK函数的方式,通过跟踪Web请求上下文识别可疑行为,针对性进行响应处置,能有效阻止利用漏洞上传或创建后门程序。
②防执行:免疫二进制后门
基于奇安信椒图云锁服务器安全管理系统(简称:云锁)的【应用白名单功能】,可以自动学习已启动应用清单,并综合威胁情报、病毒告警等信息,可快速识别出可信应用白名单。启用白名单防护策略后,后门程序、勒索病毒、挖矿病毒以及其他未知应用程序等非白名单应用将无法运行,从而实现对二进制后门免疫。
③早发现:及时体检
在很多业务系统中存在后门程序已久,如果没有阻止入侵,就应该早发现早治疗,奇安信椒图服务器安全管理系统基于特征+行为双重检测引擎,可以精准发现后门程序,并还原后门攻击途径。
④防外连:将危害降到最低
在后门防治中,切断外连途径是关键,一方面防止数据外泄,另一方面阻止失陷服务器横向扩散,污染更多服务器资产。
除了后门外,部分原本可信的白应用也可能存在非法外连、传输数据的行为,基于奇安信椒图云锁服务器安全管理系统可以自动化识别进程外连详情,包括目标ip、ip归属、域名、端口,并可以一键切断,有效阻止非法外连,将失陷服务器的危害降到最低。
数据安全无小事,《中华人民共和国数据安全法》也于2021年9月1日起正式施行,无论是国家政策层面,还是实际业务层面,我们都应该在服务器端做好的数据安全工作,其中关键工作之一是要做好后门防治工作,杜绝服务器棱镜门再次发生。
作者:李栋 奇安信云与服务器安全BG椒图事业部副总经理,服务器安全资深专家