虽然棱镜门事件已经过去了近8年,但数据守卫战争从未停止,服务器数据窃取及其罪魁祸首“后门程序”仍在肆虐。
关于棱镜门
棱镜计划(PRISM)自2007年起,美国国家安全局实施的绝密电子监控计划于2013年6月被前中情局实施(CIA)职员爱德华·斯诺登向多家媒体曝光,窃听涉及多个国家和领域的机密数据。
在棱镜门事件中,斯诺登向《华盛顿邮报》披露的服务器数据窃听与公众最密切相关。根据斯诺登提交的信息,2007年-20132006年,美国国家安全局和联邦调查局通过进入多家网络巨头的服务器监控公民的秘密数据,影响了1亿多人。
尽管所有参与者都否认棱镜门事件在全球范围内产生了巨大影响,服务器数据安全的保护也从企业和个人层面提高到了国家战略高度。
隔离环境≠绝对安全的棱镜门在身边
曾有很多IT管理员认为,只要是物理隔离环境,即使服务器被后门程序感染,数据也不能发送或构成威胁。但随着黑客攻击的进步,物理隔离环境不再安全:
202110月,据知名安全媒体报道「安全牛」以色列内盖夫本古里安大学网络安全研究中心证实了一种新的数据泄露机制,称为LANTENNA Attack,该机制利用以太网电缆作为以太网电缆“传输天线”,敏感数据从物理隔离系统中窃取。研究中心负责人Mordechai Guri博士进一步解释说,LANTENNA这是一种新型的电磁攻击。其工作原理是通过物理隔离计算机中的后门程序收集敏感数据,然后通过以太网电缆发出的无线电波编码。附近的软件定义无线电(SDR)接收器无线拦截信号,解码数据,并将其发送给相邻房间的攻击者。
除电磁攻击外,声、热、光、振动等边界通道攻击方法,以及供应链提供的设备维护通道,都会导致隔离环境的数据泄漏,因此隔离环境不再绝对安全。
数据泄漏攻击链
黑客通常利用漏洞上传后门程序。此外,将后门夹在补丁或其他安装程序中已成为一种常见的后门通信方式。服务器成功入侵后,二进制后门(MSF、CobaltStrike、Mimikatz、Metasploit等)将执行和收集数据,然后通过外带传输、秘密隧道等方式传输数据,最近被攻击者追捧的内存马webshell,执行模式更为隐蔽,其攻击原理写入恶意后门和木马并在内存中执行,因为它使用中间件执行一些恶意代码的过程,没有文件着陆,属于一种无文件攻击,反病毒引擎难以发现,给检测带来了巨大的困难。
虽然后门隐蔽性强,难以发现,但做好防上传、防执行、早期发现、防外部连接四项工作,可以有效防止后门使用,防止棱镜门的发生:
①防上传:切断后门上传方式
后门上传的大部分方式都是web但攻击者通常使用加密webshell流量混量混淆,所以一般waf类设备更容易绕过,目前更有效的方法是基于RASP技术保护WEB中间件,RASP插件通常用于ASP、PHP、Java通过脚本语言解释器等内部HOOK通过跟踪函数的方式Web要求上下文识别可疑行为并进行有针对性的响应,可以有效防止漏洞上传或创建后门程序。
②防执行:免疫二进制后门
基于奇安信椒图云锁服务器安全管理系统(以下简称云锁)的【应用白名单功能】,可以自动学习已启动的应用清单,快速识别可信应用白名单,综合威胁情报、病毒报警等信息。白名单防护策略启用后,后门程序、勒索病毒、采矿病毒等未知应用将无法运行,从而实现二进制后门免疫。
③早期发现:及时体检
在许多业务系统中,后门程序已经存在了很长时间。如果不阻止入侵,应尽早发现和治疗。奇安新椒图服务器安全管理系统可以根据特点准确找到后门程序,恢复后门攻击方式。
④防外连:将危害降到最低
在后门防治中,切断外部连接是防止数据泄漏的关键,另一方面防止失陷服务器的横向扩散,污染更多的服务器资产。
除后门外,一些可信的白色应用程序也可能有非法的外部连接和数据传输。基于奇安信椒图云锁服务器安全管理系统,可以自动识别流程外部连接的细节,包括目标ip、ip归属、域名、端口,一键切断,有效防止非法外连,尽量减少失陷服务器的危害。
数据安全不是小事。《中华人民共和国数据安全法》也于2021年9月1日正式实施。无论是国家政策层面还是实际业务层面,都要做好服务器端的数据安全工作。关键任务之一是做好后门防治,防止服务器棱镜门再次发生。
作者:李栋 奇安信云及服务器安全BG胡椒事业部副总经理,资深服务器安全专家