影子经纪人攻击NSA方程式组织事件,可以看到保护关键信息基础设施对维护企业之间通信和服务的保密性、完整性和可用性至关重要。为了应对关键信息基础设施设备威胁,美国计算机安全应急响应组US-CERT介绍了近期高级持续性威胁(APT)源起方所利用的攻击向量,并提供了预防和缓解建议。
脆弱的网络设备一直是首选的攻击向量
关键信息基础设施中的一部分由互联设备组成,用于数据、应用程序、服务和多媒体通信。本文主要针对(或涉及)路由器和防火墙。然而,网络中有很多其他设备,如交换机、负载均衡器、入侵检测系统等。诸如防火墙和入侵检测系统之类的边界设备已经是防护网络安全的传统技术了。威胁不断发生变化,安全策略也必须随之变化。组织可以不再依赖边界设备来防御网络入侵;组织也必须能够控制内部网络和基础设施所遭受的影响/损失。
几年来,脆弱的网络设备一直是首选的攻击向量,也是老练的黑客和技术先进的威胁源起方采用的最有效的手段之一。在这种环境下,提高网络基础设施安全刻不容缓。人们一般特别关注主机的安全管理,因而相关的安全工具(如抗恶意软件)大量存在,网络设备往往在后台运行,除非网络连接断开或恶化,很少受到监控。恶意的网络攻击者利用这一事实,把攻击目标对准了网络设备。一旦进入设备,他们可以长期潜伏而不被察觉。事件发生后,在管理员和安全专业人员进行取证分析和恢复控制后,获得网络设备持续访问权的恶意网络攻击者可再次攻击刚刚清理过的主机。因此,管理员需要确保对网络设备进行正确配置和控制。
关键信息基础设施威胁
SYNful Knock
2015年9月披露了一个名为SYNful Knock的攻击。SYNful Knock暗中改变路由器的操作系统镜像,从而允许攻击者在入侵网络中建立据点。一旦嵌入,该恶意软件可实现自定义和更新。修改后的恶意镜像在上传后,将提供一个进入受害者网络的后门。通过使用一个特制的TCP SYN数据包,可以在被攻击设备、恶意命令和控制(C2)服务器之间建立一条通信信道。这种感染严重影响网络或设备,并且很可能表明网络上还有其他后门或受攻击设备。这一据点使攻击者能够操控和感染其他主机,并访问敏感数据。
目前看攻击者并非通过零日漏洞入侵, 他们使用默认凭证或从其他不安全设备或通信设备中获取的弱凭证登录到设备。程序被植入在篡改后的IOS镜像文件中,一旦加载,便长久存在于环境中。之后加载的模块则只会储存于路由器的非永久性存储器,易失存储器,重新开机就会消失。然而,这些设备很少或从不会重启。
恶意软件用自己的可执行代码覆盖几个合法IOS函数,以防止镜像大小发生变化。攻击者会检查路由器功能,确定哪些函数可被覆盖而不影响路由器正常工作。因此,不同的部署模式下,被覆盖的函数不同。
攻击者可在三种不同的认证场景下使用密文后门密码。植入程序首先检查用户输入是否为后门密码。若是,允许访问; 否则,植入代码会转发凭证以验证其有效性。这通常很少会引起怀疑。思科提供关于该攻击向量的告警。了解更多信息, 参见《思科SYNful Knock安全公告(外部链接)》 。
对网络基础设施设备的其他攻击也被报道过,包括更复杂的持续性恶意软件。这些恶意软件暗中改变设备上用于加载操作系统的固件。因此,恶意软件可以在正在运行的操作系统中注入代码。了解更多信息,参见《思科IOS设备上攻击的演化(外部链接》。
思科自适应安全设备 ( ASA )
思科ASA设备是可以提供防火墙和虚拟专用网(VPN)的网络设备。该设备通常部署在网络边界,保护站点的网络基础设施,并允许远程用户访问本地保护资源。
2016年6月,美国国家网络安全和通信集成中心(NCCIC)收到了几份关于非法修改思科ASA设备的报告。ASA设备将用户定向至某位置,进行社会工程,诱骗用户泄露自己的凭证。
据怀疑,恶意攻击者利用CVE-2014-3393漏洞向受影响设备中注入恶意代码。然后,恶意攻击者就可以修改随机存储器文件系统(RAMFS)缓存文件系统中的内容,并在设备配置中注入恶意代码。了解更多信息和补救详情, 参见《关于思科ASA软件中多个漏洞的安全公告(外部链接)》 。
2016年8月,名为“影子经纪人”的团体公开发布了大量文件,包括新旧漏洞的利用工具。经发现,思科ASA设备易受到已发布的利用程序代码的影响。作为响应,思科发布了一项更新来修复思科ASA简单网络管理协议(SNMP)远程代码执行漏洞( CVE-2016-6366 )。另外,还有一个针对之前已被打过补丁的思科漏洞( CVE-2016-6367 )的利用程序工具。尽管思科在2011年提供了修复思科ASA命令行界面(CLI)远程代码执行漏洞的补丁,未打补丁的设备还会受到上述攻击。攻击者在系统打补丁后的数月甚至数年内仍可利用漏洞。
影响
如果网络基础设施受到攻击,恶意黑客或敌人可以完全控制基础设施,从而进一步攻击其他类型的设备与数据,并对流量进行重定向、改变或拒绝。这些操作可能会造成拒绝服务攻击、数据窃取或对数据的非法修改。
具有网络基础设施权限和访问权限的入侵者可以产生生产力,或严重阻碍网络连接的建立。尽管还检测到了其他被攻击的设备,追溯被攻击的基础设施设备通常是很困难的。
在被之前入侵的主机拒之门外后,可以持续访问网络设备的恶意攻击者能够再次发起攻击并入侵其他设备。
关键信息基础设施威胁解决方案
1. 隔离网络和功能
适当的网络隔离是一项非常有效的安全机制,可用来阻止入侵者传播利用程序或影响内网中的其他设备。在隔离性较差的网络中,入侵者能够扩大影响,控制关键设备或访问敏感数据和知识产权。安全架构师必须考虑整体基础设施布局、分段和隔离。隔离可以根据角色和功能划分网段。安全隔离的网络可控制恶意发生次数,减少入侵者在网络中占领据点时的影响。
敏感信息的物理隔离
局域网(LAN)网段是通过传统网络设备(如路由器)来隔离的。路由器部署在网络之间,形成边界,增加广播域的数量,并有效过滤用户的广播流量。这些边界用于控制安全漏洞,通过限制流量来划分网段,甚至可以在入侵过程中关闭网段,从而限制攻击者访问。
建议
- 设计网段时执行“按需知密”和最低权限原则。
- 将敏感信息和安全要求划分在不同的网段中。
- 将安全建议和安全配置应用到所有网段和网络层中。
敏感信息的虚拟隔离
随着技术的变化,制定了新策略来提高IT效率和改善网络安全控制措施。虚拟隔离是在同一物理网络上的网络的逻辑隔离。相同的物理分段设计原则同样适用于虚拟隔离,但没有额外的硬件要求。现有技术可防止入侵者破坏其他内部网段。
建议
- 使用私有虚拟局域网(LAN)将用户与广播域的其他部分隔离开。
- 使用虚拟路由和转发(VRF)技术对单一路由器上多个路由表的网络流量进行分割。
- 使用VPN通过公共或私有网络安全扩展主机/网络。
2. 限制非必要的横向通信
允许未经过滤的工作站间的通信(以及其他对等通信)造成严重的漏洞,允许网络入侵者将攻击目标轻易扩展至多个系统。入侵者可以在网络中建立有效“滩头”,然后在网络中植入后门并维护持续性。这样以来,防护者很难遏制和消除这些“滩头”。
建议
- 使用基于主机的防火墙规则来限制通信,拒绝来自网络中其他主机的数据包流量。可以创建防火墙规则,对主机设备、用户、程序或IP地址进行过滤,从而限制服务和系统的访问。
- 实施VLAN访问控制列表(VACL),控制VLAN的出入访问流量。应创建VACL过滤器,不允许数据包流量流至其他VLAN中去。
- 使用物理或虚拟方法逻辑划分网络,使网络管理员能够对网段上的关键设备进行隔离。
3. 加固网络设备
增强网络基础设施安全的根本途径是启用安全配置来保护网络设备。政府机构、组织和供应商在加固网络设备方面为管理员提供了广泛的资源。这些资源包括基准和最佳实践。应结合法律、法规、网站的安全政策、标杆和行业最佳实践来执行这些建议。这些为保护网络基础设施设备完整性的企业提供基线安全配置, 并为厂商提供的网络安全最佳实践提供补充。
建议
- 禁用用于管理网络基础设施的未加密远程管理协议(如Telnet和FTP)。
- 禁用不必要的服务(如发现协议、源路由、HTTP、SNMP和BOOTP)
- 使用SNMPv3(或后续版本)但不使用SNMP团体名。
- 安全访问控制台、辅助设备和VTY线路。
- 实施健全的密码策略,并使用最强密码加密。
- 通过控制远程管理的访问列表来保护路由器/交换机。
- 限制对路由器/交换机的物理访问。
- 备份并离线存储配置。使用最新版本的网络设备操作系统,并与所有补丁一起更新。
- 根据安全需求,定期测安全配置。
- 加密保护配置文件和/或在电子发送、存储和备份这些配置文件时,进行访问控制。
4. 安全访问基础设施设备
基础设施设备的管理特权允许访问对大多数用户不开放并限制的资源。当管理员权限授权不当、授权人数过多和/或授权未密切审计时,可被入侵者利用。这些被利用的特权可使入侵者遍历网络,扩大访问范围,并有可能完全控制基础设施骨干。通过正确实施安全访问策略和程序,可以缓解对基础设施未经授权的访问。
建议
- 实行多重认证—认证是验证用户身份的过程。弱认证过程通常被攻击者利用。多重认证使用至少两个身份组件来对用户身份进行验证。身份组件包括用户知道的内容(如密码)、用户拥有的对象(如令牌)和某人的特点(如生物特征)。
- 管理特权访问—使用授权服务器存储对网络设备管理的访问信息。这种类型的服务器使网络管理员能够根根据最低权限原则为用户分配不同的特权级别。当用户试图执行未经授权的命令时,将会被拒绝。为了增加用户认证的强度和鲁棒性,如果可能的话,除了AAA服务器,还要采用硬令牌认证服务器。多重认证增加了入侵者窃取和重用凭证来访问网络设备的难度。
- 管理管理员凭证—虽然强烈推荐多重认证,并是一项最佳实践做法,不能满足此要求的系统至少可以通过修改默认密码和实行复杂的密码策略来提高安全水平。网络账户必须使用至少14个字符的复杂密码,包括小写字母、大写字母、数字和特殊字符。执行密码过期和重用策略。如果因为紧急访问而保存密码,将之保存在非网络位置中,比如保险柜。
5. 实行带外管理
带外(OoB)管理使用备用通信路径远程管理网络基础设施设备。这些专用路径的配置可能有所不同,包括从虚拟隧道到物理分离。使用带外访问管理网络基础设施能够通过限制访问,并将用户流量从网络管理流量中分离来加强安全。带外管理提供安全监控,并采取纠正措施,让已破坏部分网络的攻击者无法观察这些变化。
带外管理可以提供物理或虚拟实现,或两者兼用。对网络管理者而言,建立额外的物理网络基础设施是最安全的选择,虽然实现和维护的价格昂贵。虚拟实现成本较低,但配置变化大,管理要求高。在某些情况下,如访问远程位置,虚拟加密隧道可能是唯一可行的选择。
建议
- 将正常网络流量与管理流量隔离。
- 设备上的管理流量只能来自带外。
- 对所有所有管理通道加密。
- 对基础设施设备(如终端或拨号服务器)的所有远程访问都进行加密。
- 使用安全通道上的专用主机(打上完整补丁)管理所有管理性功能。
- 通过测试补丁、关闭路由器和交换机上不必要的服务和执行强口令策略来加固网络管理设备。监控网络和查看日志实现访问控制,只允许必要的管理服务(SNMP、NTP SSH、FTP和TFTP)。
6. 验证软硬件的完整性
通过未经授权的渠道购买的产品通常被称为“假冒”、“二级”或“灰色市场”设备。已有多篇关于灰市软硬件被引入市场的新闻报道。灰市产品未经过彻底测试,不能满足质量标准,并可能引入网络风险。缺乏对软硬件合法性的认识或验证会对用户信息和网络环境的整体完整性带来严重的风险。从二级市场购买的产品有破坏供应链的风险,这可能会引入假冒、盗窃或二手设备, 影响网络性能和破坏网络资产的保密性、完整性或可用性。此外,供应链被破坏后,攻击者便可乘机在设备上安全软硬件。而且,未经授权的或恶意软件可能会在操作使用后加载到设备上,因此应对软件的完整性进行定期检查。
建议
- 严格控制供应链;只从授权经销商处购买。
- 要求经销商进行供应链完整性检查,以验证软硬件的真实性。
- 检查设备的篡改迹象。
- 多源验证序列号。
- 从经验证的来源下载软件、更新、补丁和升级。
- 根据厂商的数据库,执行哈希验证和比较数值,以检测对固件未经授权的修改。
- 监控和记录设备,定期验证设备的网络配置。
- 培训网络责任人、管理者和采购人员,从而提高对灰市设备的认识。
参考
- 思科SYNful Knock安全建议(外部链接)
- 关于思科ASA软件中多个漏洞的安全公告(外部链接)
- 思科IOS设备上攻击的演化(外部链接)
- 思科IOS软件完整性保证(外部链接)
- 思科信息保护建议IAA U/OO/802097-16,缓解未授权思科ROMMON
- 关于思科自适应安全设备(ASA)中漏洞的信息保证公告IAA U/OO/802488-16
- 信息保护署网络缓解包–基础设施
《US-CERT结合影子经纪人事件 给出网络基础设施高级威胁解决方案》的相关文章请参看
NSA黑客团队方程式组织(Equation Group) 泄露资料分析 涉及思科、飞塔及天融信防火墙漏洞
原文发布时间:2017年3月24日
本文由:US-CERT 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/us-cert-publish-network-infrastructure-apt-solution