事件回顧和分析
一封看似合理的電子郵件引發(fā)了2016年6月份最大的安全事件—JTB被未知黑客入侵盜取793W客戶信息�。此次事件,自JTB2016年6月15日宣布被未知黑客入侵以來持續(xù)發(fā)酵�����,相關(guān)報(bào)不絕于耳����。綜合各方面的信息材料,基本可以還原出整個(gè)JTB被入侵的全過程�����。
根據(jù)日經(jīng)新聞報(bào)道��,此次入侵事件存在以下幾個(gè)關(guān)鍵時(shí)間節(jié)點(diǎn):
3月15日J(rèn)TB員工打開釣魚電子郵件���,辦公電腦被黑客植入木馬
3月20日 第三方安全企業(yè)發(fā)現(xiàn)異常流量�����,但未引起JTB特別關(guān)注
3月21日 黑客開始抽取數(shù)據(jù)庫中的核心信息
3月25日 黑客把數(shù)據(jù)庫信息向外傳輸完畢
4月01日 發(fā)現(xiàn)黑客盜取數(shù)據(jù)留下的痕跡
6月10日 JTB確認(rèn)此次黑客入侵損失
根據(jù)對該病毒程序的樣本分析�����,可以重演黑客如何利用感染的商品信息控制服務(wù)器對“實(shí)用數(shù)據(jù)庫”進(jìn)行攻擊���,獲取數(shù)據(jù)。下圖描述了plugx在入侵pc機(jī)����,感染內(nèi)網(wǎng)多臺(tái)服務(wù)器后,如何從數(shù)據(jù)庫中盜取核心數(shù)據(jù)。
1����、商品信息控制服務(wù)器被黑客的木馬通過內(nèi)網(wǎng)感染,木馬將自己設(shè)置成名為QUEST software TOAD的進(jìn)程�����。該木馬會(huì)調(diào)用fmtoptions程序和相應(yīng)的組件(通過替換dll文件植入惡意程序)��,被攻擊的fmtoptions 程序建立了80端口的http服務(wù)。
2����、海外的C&C(通訊與命令)服務(wù)器,通過該服務(wù)器上開放的http協(xié)議與被感染的fmtoptions程序進(jìn)行通訊��,發(fā)送經(jīng)過壓縮加密的命令到商品信息控制器����。由于商品信息控制器被數(shù)據(jù)庫服務(wù)器所信任。從而登錄“實(shí)用數(shù)據(jù)庫”�����,對數(shù)據(jù)庫進(jìn)行批量導(dǎo)出或混淆式導(dǎo)出�����。
3��、導(dǎo)出的數(shù)據(jù)集被fmtoptions程序保存為CSV文件�����,通過web集群向未知的服務(wù)器發(fā)送數(shù)據(jù)����。CSV使用后��,會(huì)立即刪除�,隱藏黑客入侵的痕跡�。
RAT(遠(yuǎn)程訪問木馬)的新特征
RAT(remote access Trojan)是一種常見的攻擊手段�����,入侵者可通過此類攻擊達(dá)到竊取核心數(shù)據(jù)的目的�,此次事件正是一次典型的RAT攻擊。
對比以往的RAT攻擊���,此次安全事件暴露出新版本和以往不同的特點(diǎn)���,而這些新特點(diǎn)也給我們帶來了新的安全挑戰(zhàn)。
特點(diǎn)一:目標(biāo)明確�����,洞悉內(nèi)網(wǎng)環(huán)境
此次JTB遭遇黑客從入侵到結(jié)束����,總共用時(shí)11天。這說明黑客對JTB及其子公司內(nèi)網(wǎng)部署結(jié)構(gòu)和安全措施有相當(dāng)深入的了解。并不像常見RAT那樣采取被動(dòng)的隱藏的方式通過長期的潛伏緩慢獲取數(shù)據(jù)��。而是采用了一種主動(dòng)的方式(可能是fire hosed方式)��,快速獲取目標(biāo)數(shù)據(jù)����,并通過多臺(tái)JTB機(jī)器向黑客控制服務(wù)器傳送被盜數(shù)據(jù)信息。
特點(diǎn)二:黑客工具針對性強(qiáng)
根據(jù)JTB的公開說明���,此次被植入的惡意后門是plugx�。這是一款從2012年就被廣泛使用的惡意后門���。根據(jù)Sophos實(shí)驗(yàn)室首席研究員Szappi報(bào)告指出有一個(gè)變種的plugx從2013年開始就專門針對日本地區(qū)����。這個(gè)變種的一個(gè)顯著特點(diǎn)就是使用了大量僅在日本本地流行的軟件漏洞�����。例如:Plugx原本用于本地系統(tǒng)提權(quán)的漏洞是利用了Microsoft Word存在的漏洞�����,但這個(gè)變種則是使用了日本人廣泛使用的太一朗文字存儲(chǔ)器存在的漏洞。
我們有理由相信�����,Sophos實(shí)驗(yàn)室提到的這個(gè)plugx變種很可能正是JTB遭到的惡意后門�����。這也揭示出了現(xiàn)在RAT攻擊采取的技術(shù)會(huì)更加專業(yè)化���,不再面向通用軟件。而是根據(jù)當(dāng)?shù)氐奶厣?��,甚至目?biāo)企業(yè)的特色制定專門適合當(dāng)?shù)氐娜肭周浖?/p>
特點(diǎn)三:數(shù)據(jù)獲取手段隱蔽
此次黑客獲取數(shù)據(jù)庫中數(shù)據(jù)采用了可信工具直接訪問數(shù)據(jù)庫提取出關(guān)鍵數(shù)據(jù)的間接方式���。并沒有在數(shù)據(jù)庫服務(wù)器上安裝后門程序。這種通過可信機(jī)制獲取數(shù)據(jù)庫信任得到數(shù)據(jù)的方式����。既隱蔽了自己的行蹤,又分散了數(shù)據(jù)的流量給數(shù)據(jù)泄露的追查工作也帶來了更大的挑戰(zhàn)����。
暴露的安全問題以及解決方案
回顧整個(gè)事件發(fā)現(xiàn)黑客的攻擊手法和強(qiáng)度都有不小的提升��。整個(gè)事件僅11天黑客就完成了盜取數(shù)據(jù)庫數(shù)據(jù)的過程�����,而JTB則花費(fèi)了90多天才確定此次黑客盜取的信息����。我們在惋惜JTB的不幸遭遇和驚嘆于黑客技術(shù)升級迅速的同時(shí)����。更為重要的是通過此次JTB暴露的安全問題,我們可以從中吸取什么教訓(xùn)��,來避免類似事件在我們自己身上發(fā)生���。
通過此次事件暴露出數(shù)據(jù)安全面臨的3類典型安全隱患���。
缺乏對核心數(shù)據(jù)的專業(yè)保護(hù)能力
內(nèi)網(wǎng)安全管控能力不強(qiáng)
企業(yè)安全意識薄弱
缺乏對核心數(shù)據(jù)的專業(yè)保護(hù)能力
核心數(shù)據(jù)對于企業(yè)的價(jià)值越來越重要。核心數(shù)據(jù)往往被存放在數(shù)據(jù)庫服務(wù)器中�。因此數(shù)據(jù)庫服務(wù)器的防護(hù)能力必須加強(qiáng)。數(shù)據(jù)庫的防護(hù)的關(guān)鍵可以分為四個(gè)核心部分
1�����、數(shù)據(jù)的風(fēng)險(xiǎn)感知,及時(shí)發(fā)現(xiàn)異常行為
數(shù)據(jù)庫面臨的風(fēng)險(xiǎn)來自方方面面��,感知風(fēng)險(xiǎn)是面對風(fēng)險(xiǎn)的關(guān)鍵的一步�;如果在黑客開始攻擊數(shù)據(jù)庫的第一時(shí)間就感知到異常,完全可以立即發(fā)出警告并找到準(zhǔn)確的攻擊來源��,采取措施��。JTB在數(shù)據(jù)庫服務(wù)器和應(yīng)用之間缺乏一種對sql語句行為判斷的有效過濾工具(數(shù)據(jù)庫防火墻)�,對訪問數(shù)據(jù)庫信息的語句沒有管控能力,導(dǎo)致黑客在取得可信Ip和數(shù)據(jù)庫用戶信息后��,能夠利用數(shù)據(jù)導(dǎo)出工具對數(shù)據(jù)進(jìn)行肆意獲取��。
數(shù)據(jù)庫防火墻可以提供一種有效的感知風(fēng)險(xiǎn)的方式����。通過對應(yīng)用系統(tǒng)和數(shù)據(jù)庫之間的數(shù)據(jù)訪問行為進(jìn)行學(xué)習(xí)��,而形成應(yīng)用和數(shù)據(jù)庫之間的語法結(jié)構(gòu)模型(應(yīng)用的行為模型)���。最終只允許嚴(yán)格符合模型中語法的sql語句從數(shù)據(jù)庫中獲取信息�。一旦發(fā)現(xiàn)有不符合原語法模型的新型SQL產(chǎn)生��,很可能標(biāo)志著應(yīng)用系統(tǒng)遭到了跨站劫持、惡意代碼或注入攻擊等�����。對于新型的sql語句進(jìn)行警告并控制�,并記錄下該行為的來源(IP地址和程序名稱fmtoptions),作為審查的線索���,從而在第一時(shí)間發(fā)現(xiàn)異常行為����,感知風(fēng)險(xiǎn)����,進(jìn)行響應(yīng)。
2�、細(xì)粒度訪問控制,對非常規(guī)請求進(jìn)行限制
數(shù)據(jù)庫防火墻不但可以對異常語句在入侵到數(shù)據(jù)庫前及時(shí)作出分辨�。還可以通過細(xì)粒度的訪問控制有效的約束對數(shù)據(jù)庫的訪問行為,并且對符合規(guī)范的請求語句��,在結(jié)果集上作出限制��。JTB這個(gè)事件中雖然無法直接證明���,但黑客獲取數(shù)據(jù)庫數(shù)據(jù)很可能是通過數(shù)據(jù)庫信任的數(shù)據(jù)分析采集系統(tǒng)進(jìn)行的�����。雖然請求語句是可信的����,但如果黑客一次導(dǎo)出大量的結(jié)果集。數(shù)據(jù)庫防火墻則會(huì)根據(jù)結(jié)果集行數(shù)限制的規(guī)則對操作進(jìn)行阻斷或攔截并提醒相關(guān)人員數(shù)據(jù)庫中有異常流量����。及時(shí)的阻斷和攔截將有助于減小數(shù)據(jù)庫外泄信息的條數(shù),減小企業(yè)損失����。
3、數(shù)據(jù)操作審計(jì)���,實(shí)現(xiàn)安全追責(zé)和損失收集
JTB的數(shù)據(jù)庫同時(shí)缺乏數(shù)據(jù)庫審計(jì)工具。數(shù)據(jù)庫審計(jì)工具多采用旁路的部署方式����,對數(shù)據(jù)庫性能毫無影響??梢詫徲?jì)到數(shù)據(jù)庫上所有的流量�。不怕黑客進(jìn)入數(shù)據(jù)庫后刪除日志文件����。數(shù)據(jù)庫審計(jì)工具會(huì)清楚的顯示出所有對數(shù)據(jù)庫的請求和數(shù)據(jù)庫的回復(fù)。一旦出現(xiàn)類似JTB的數(shù)據(jù)庫數(shù)據(jù)泄露事件���?�?梢栽诘谝粫r(shí)間調(diào)取數(shù)據(jù)庫審計(jì)產(chǎn)品����,確認(rèn)黑客到底拿走了什么數(shù)據(jù)���。不需要花費(fèi)將近3個(gè)月的時(shí)間去恢復(fù)CSV文件才能確定黑客給企業(yè)造成的損失�。更重要的是不會(huì)造成消費(fèi)者的恐慌心理��。減小整個(gè)數(shù)據(jù)庫泄露事件對企業(yè)的負(fù)面影響�����。并給安全機(jī)關(guān)提供有效的追查方向�����。
4、核心敏感數(shù)據(jù)實(shí)施必要的加密
JTB在存儲(chǔ)數(shù)據(jù)的時(shí)候也犯了一個(gè)錯(cuò)誤����。不應(yīng)該把核心信息存儲(chǔ)成明文,而應(yīng)該存儲(chǔ)成密文�,且采用基于上下文語境的強(qiáng)制訪問控制來保護(hù)核心數(shù)據(jù)。在最壞的時(shí)候也能保障用戶的核心信息不外泄�。黑客即便拿到核心數(shù)據(jù)。但都是密文���,同樣也無法利用��。
內(nèi)網(wǎng)安全管控能力不強(qiáng)
企業(yè)對于外網(wǎng)的防護(hù)往往是不遺余力的���,而對內(nèi)網(wǎng)的檢測和管控則或多或少都存在一些漏洞。Plugx在入侵了內(nèi)網(wǎng)的一臺(tái)PC機(jī)后會(huì)�,利用這臺(tái)PC機(jī)作為跳板在整個(gè)內(nèi)網(wǎng)中傳輸含有plugx的木馬程序。感染整個(gè)內(nèi)網(wǎng)環(huán)境���。如果采取更完善的內(nèi)網(wǎng)環(huán)境的隔離和動(dòng)態(tài)檢測。相信不會(huì)這么大面積的感染內(nèi)網(wǎng)環(huán)境中的機(jī)器�����,致使企業(yè)的賬號密碼都被plugx通過鍵盤記錄器收集。以至于最后核心數(shù)據(jù)庫被盜取�����。
企業(yè)安全意識薄弱
企業(yè)安全意識不強(qiáng)主要表現(xiàn)在兩個(gè)方面上:1.從體制上����,企業(yè)缺乏專業(yè)的安全團(tuán)隊(duì)保障整個(gè)企業(yè)的網(wǎng)絡(luò)、業(yè)務(wù)��、應(yīng)用及系統(tǒng)安全��。由于體制上的缺乏�,導(dǎo)致了黑客入侵難以被發(fā)現(xiàn)。被發(fā)現(xiàn)也不會(huì)及時(shí)重視��。一再貽誤戰(zhàn)機(jī)�����,最終導(dǎo)致793W數(shù)據(jù)外泄����。2. 企業(yè)缺乏相關(guān)安全意識培訓(xùn),致使員工安全意識薄弱。員工缺乏分辨釣魚郵件的能力�。回復(fù)郵件出現(xiàn)異常也未引起察覺��。管理層也對安全威脅重視程度不足��。早在19號第三方安全企業(yè)已經(jīng)發(fā)出安全警告���。管理團(tuán)隊(duì)僅采用對web服務(wù)器進(jìn)行隔離�����、添加黑名單等治標(biāo)不治本的手法���。而沒有在第一時(shí)間發(fā)現(xiàn)攻擊的根源,導(dǎo)致本來可以減小的損失��,并沒有減小���。
反思與總結(jié)
對比JTB的三大失誤和此次黑客入侵工具的三大特點(diǎn)不難看出���。企業(yè)和黑客之間的戰(zhàn)爭正在悄然無息的全面升級。黑客越來越專業(yè)化��,甚至根據(jù)不同的目標(biāo)進(jìn)行工具的優(yōu)化。在整個(gè)企業(yè)安全的長城上尋找一絲一毫的切入口�。任何一個(gè)缺陷最后都可能成為整個(gè)數(shù)據(jù)泄露的罪魁禍?zhǔn)?���。同樣對于企業(yè)來說,隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展�����,隨著大量業(yè)務(wù)的互聯(lián)網(wǎng)化���。來自網(wǎng)絡(luò)的威脅將逐漸成為未來企業(yè)將面對的最大威脅��。如何解決好來自網(wǎng)絡(luò)的威脅將成為困擾廣大企業(yè)用戶的長期問題�����。企業(yè)要想最終贏得這場與黑客之間的戰(zhàn)爭必須克服JTB犯的2大問題:一個(gè)是人的安全意識的問題�、另外一個(gè)是核心數(shù)據(jù)的風(fēng)險(xiǎn)感知和安全防護(hù)的問題�。不提高工作者、管理者���、消費(fèi)者的安全意識����,安全永遠(yuǎn)是句空話。安全符合木桶原理�,決定安全度的永遠(yuǎn)不是最長的板,而是最短的板���。太多企業(yè)很注重自己的外網(wǎng)安全��。但對內(nèi)網(wǎng)安全特別是數(shù)據(jù)安全則重視程度并不足夠����。其實(shí)這是一種本末倒置的想法�����,黑客入侵企業(yè)網(wǎng)絡(luò)�����,最希望的訴求就是獲取數(shù)據(jù)庫中的核心數(shù)據(jù)�����。當(dāng)黑客進(jìn)到內(nèi)網(wǎng)遇到幾乎“裸奔”的數(shù)據(jù)庫服務(wù)器�����,興奮程度可想而知。試想如果JTB在數(shù)據(jù)庫前有數(shù)據(jù)庫防火墻�����,數(shù)據(jù)庫中的數(shù)據(jù)庫恐怕沒有這么容易被盜?�?��;同樣如果有針對數(shù)據(jù)庫的審計(jì)產(chǎn)品相信JTB也不會(huì)為了弄清楚黑客從數(shù)據(jù)庫中拿了什么,而花費(fèi)近3個(gè)月的時(shí)間�。給客戶帶來恐慌,給企業(yè)帶來信任危機(jī)��。哪怕JTB用數(shù)據(jù)庫加密產(chǎn)品對數(shù)據(jù)庫中關(guān)鍵字段加密����,不是明文存放,至少保證客戶信息在一段事件內(nèi)的安全�。期間通知客戶進(jìn)行修補(bǔ),也能最大限度的避免損失����。但可惜的是JTB對數(shù)據(jù)庫什么都沒做���,于是黑客毫不費(fèi)力的拿到了793W條核心數(shù)據(jù)。
你的企業(yè)想成為下一個(gè)JTB嗎�����?不想就請給你的數(shù)據(jù)庫加上安全防護(hù)吧��,它遠(yuǎn)沒你想的安全���。
產(chǎn)品咨詢:4000 258 365 
