LAPSUS$安全攻击的胡乱分析

Posted 2022-04-01 大海里的废话集合

写在前面的话

我也不是专业的自媒体作者，也不想通过写这些文字去谋求什么，就是把经历和想法记录下来，各位觉得好看就点个赞，觉得不好看就删除。

事件概述

Lapsus$ 应该是最近新出现的黑客组织。黑客组织于去年年底首次出现，但已经入侵了微软、英伟达、三星、OKTA和育碧等知名企业。

Lapsus$还直接放出了英伟达和微软的部分代码，有新闻报道英国警方已经抓获了7名该组织成员。

伦敦市警方表示：“7名年龄在16至21岁之间的人因涉嫌黑客组织活动而被捕。他们随后在调查中获释，但调查仍在进行中。”

事件看点

微软事件报告

Lapsus$不仅发布了控制微软内部账户的截图，还放出了部分微软产品的代码，如bing，Cortana等代码。

微软自己发布一份关于被黑的调查报告，给Lapsus$取名为DEV-0537，具体链接地址在文末附带有兴趣读者可以自己去看看。

自己发布自己被黑的调查报告也算勇气可嘉，不过内容上看的说很多东西都是悠着写，就是这样文章里还有不少有意思的地方可以看。

我大约整理了攻击事件上面的流程

除了大家喜闻乐见的钓鱼撞库偷凭据外，新花样还有收买目标公司员工或者权限，甚至直接入职目标公司来获得相应的进入权限。

进入手法上更是简单粗暴，也没啥后门木马反弹shell，直接来个anydesk这样的软件，内部网络系统全通，系统全开随便玩。

后门就是各路内网小王子熟悉的环节了，撸AD，干Jira，gitlab，Confluence等各种系统。翻内部的各种系统和资料寻找密码和凭据。

利用收集到的各种信息再去服务台各种坑蒙拐骗，重置某些特权账户的密码。

拖代码环节，也没啥好说的都是正式员工了同步代码根本不会被发现，被发现时因为发布消息时候惊动了微软，被微软安全调查出来封闭了部分账户。

利用权限把自己加入到很多云租户的管理系统内成为唯一管理者，并且加入office365系统盗取邮件。

Lapsus$会想办法利用内部账户的权限加入到安全响应的处理小组中去，偷窥响应处理过程，根据处理方案调整自己的攻击操作。

有意思的环节是微软的修补建议，我也整理一下

强化MFA，不能用短信这样弱的容易被劫持的，也不能用简易的MFA如简单语音或者简单的推送，要用强的如FIDO Tokens或者Microsoft Authenticator这样的。

扩大MFA范围，最好啥地方都用上，不要说那些互联网登陆啥的，就是可信网络可信设备也要上，甚至本地终端也要用上。所有用户也都要上，不能有的用户可以进入白名单里。

要上风控策略，不能有了MFA就不做管控了

VPN要加强管控，不仅要有新的认证机制还要有风控

终端要做可信设备控制，打开Defender的云查杀

云上要加强管控，这部分主要分两块一块是加强云上的用户管控，另外一块是要把云上的安全报警和管控都打开

加强对社会工程学攻击的认识和防护教育

密码安全使用，这段内容说实话都是说了几百年的东西

密码策略要足够强度，推荐了微软自己的Azure AD Password Protection

避免密码喷射攻击

免密码方案可以考虑

员工避免在不安全的地方保存密码

禁止员工间共享密码和MFA因素

禁止有任何在线保存密码的地方，一次性密码账户必须离线保存

避免密码策略出现一个人就可以绕过MFA

整体就报告内容来说，整个攻击流程中没有什么特殊的地方，基本都是比较普通常见的方法，但是就这样也算是把微软打穿了。

从应对方案上来看解决方案里面可以看出攻击重点有以下几个点：

1. 社工是攻击源头之一，但是这基本算是无解，微软也无奈只能建议加强教育。

2. 密码和MFA应该是这次攻击的主要问题，从使用上到保存看来几乎有问题的可能全部被轮了一个遍，所以微软一下提了好多建议。

3. 另外云上用户管理混乱的问题也是根源，估计微软有很多客户Azure账户在内部，于是被黑去拿走干坏事。

4. 微软的云上全家桶问题也不少，这种saas服务被从上游打穿真是无解，让微软也没法只能建议你们打开报警有问题及时联系。

5. VPN这样源头也是问题，加强认证外还要有风控策略。
   

整个事件我比较好奇的是，微软建议居然没提anydesk这样的软件问题如何解决，看起来微软自己内部很多这样的场景存在，没法搞一刀切。

另外微软也通篇没提一堆人在内网胡搞，为啥没有报警和相关安全处理的说明，建议倒是提了defender要打开，可是这好像有点太晚了吧。

Okta事件报告

Okta没有全文报告，推特上找到一个人贴了报告的两个截图，从截图可以看到Okta应该是买了Fireeye的产品和服务，事件处理也是Mandiant去做的然后出的报告。 

别的不说贴图吧

虽然很多打码了，但是还是可以看到很多有意思的信息

Okta被控制的终端上应该是Fire eye家的EDR产品，感觉这也算标配终端软件，这个终端感觉就是发给员工使用的机器。

虽然没说明，但是我感觉这些操作应该是直接在办公机的终端上了。

黑客拿到了很多账户密码，而且权限还不低，登陆远程机器都是直接登陆就进行操作。

下载黑客软件时，EDR还是在工作中的，估计是直接杀掉了下载的软件，没办法只能终结掉EDR进程。

去找来mimikatz进行操作，dump出来一堆hash。

后面还创建一个规则把收到的所有邮件都转发到Lapsus$自己的账户里面去。

留的信息太少了也没啥好分析了，简直就是在终端上现场学习提权，哪里不行就干啥，居然这样折腾Fire eye好像睡着一样，也没出点啥报警。

而且就记录来看虽然进程终止了，但是信息记录还在说明应该终端软件还是在以某种方式在工作。

只能说Okta这么大的声势，但是内部安全感觉也没想象的敏感啊，有这么明显的敏感操作，也没进行相应的应急响应来处理这些报警。

事件总结

解读分析大约写完了，后面就是是要做的的老本行，根据事件反思对自己企业安全需要做的改进。

改进建议微软写了不少，但是感觉很多估计国内落地难度很大。我改进简化版算是贴近实际情况。

1. MFA的必要性，不能指望员工保护这些账户，如果没有MFA基本无法杜绝账户丢失后长期被恶意使用，很多内部账户长期出借也不是新闻。

2. 风控策略不仅是普通业务使用，特别是统一认证系统还有VPN这样的地方也应该有相关策略，不然如果内部恶意配合就能绕过MFA。

3. 内部系统也要打补丁，不能觉得躲到内网就安全了。

4. 云上用户权限也应该有统一管理建议是全部最小权限，还有特别是类似Access Key的也应该遵循最小权限管理，而且应该可以经常更换。

5. 内部信息平台应该严格管控权限，禁止共享类似密码密钥这样的敏感文件。

6. 办公网内如果可以应该管控类似anydesk这样的软件。

7. 加强社工攻击的教育和防护意识培训。

8. 考虑部署EDR产品。

9. 云安全产品要用起来，安全报警需要有人运营和跟进，虽然这件事情很难但是还是要做啊。
   

最后一点感慨

当时看完微软和okta事情让我第一想起2010年百度域名被黑的事件，说起来那个伊朗黑客纯靠和客服沟通最终说服客服，给了他百度的域名转移权限。

百度那次事情让大家很震撼，因为不要协商大家域名全部迁移到号称从来没黑过的markmonitor上面去了。

当时我记得最清楚的是markmonitor来介绍重点强调了他们进行域名转移超级复杂的流程，这样就不可能重新出现百度的事情。这次事件不知道能给大家带来什么改进。

附录

微软报告链接地址：

https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/

供应链攻击的安全分析

 多年来，供应链攻击一直是网络安全专家关注的一个问题，因为针对单一供应商的一次攻击引发的连锁反应，可能危及整个供应商网络。攻击者在62%的攻击中使用的是恶意软件攻击。

根据最新的ENISA（欧洲网络和信息安全局）报告——《供应链攻击的威胁分析》，分析了最近的24次攻击，当攻击者已经将注意力转移到供应商上时，强大的安全保护对组织来说已经不够了。

这些攻击的影响越来越大，如系统停机、金钱损失和声誉损害。

与去年相比，2021年供应链攻击预计将增加4倍。这种新趋势强调了政策制定者和网络安全界马上采取行动的必要性。迫切需要采取新的保护措施，以预防和应对未来可能发生的供应链攻击，同时减轻其影响。

欧盟网络安全局执行主任Juhan Lepassaar说:“由于供应链攻击的连锁效应，威胁行动者可以同时对企业和客户造成广泛的损害。有了欧盟层面的良好实践和协调行动，成员国将能够达到类似的能力水平，提高欧盟的网络安全共同水平。”

什么是供应链?

供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面，供应链包括硬件和软件、云或本地存储和分发机制。

为什么良好的网络安全水平还不够好?

供应链攻击由对一个或多个供应商的攻击和随后对最终目标(即客户)的攻击组成，供应链攻击可能需要数月才能成功。在许多情况下，这种攻击可能在很长一段时间内不被察觉。与高级持久性威胁(APT)攻击类似，供应链攻击通常是有目标的。

报告显示，一个组织在供应链攻击中可能很脆弱，即使它自己的防御很好。攻击者通过寻找新的潜在途径，以一个供应商的身份打入组织。此外，由于供应链攻击对众多客户的影响几乎是无限的，所以这些类型的攻击正变得越来越普遍。

在报告的事件中，约66%的攻击者为了攻击目标客户，将注意力集中在供应商的代码上。这表明，在使用第三方代码和软件之前，组织应该集中精力验证它们，以确保这些代码和软件没有被篡改或操纵。

在分析的约58%的供应链事件中，目标客户资产主要是公司数据，包括个人身份信息数据和知识产权。

在分析的66%的供应链攻击中，供应商不知道或没有报告他们是如何受到损害的。然而，约9%的因供应链攻击而受害的客户不知道攻击是如何发生的。这显示了供应商和终端用户在网络安全事件报告方面成熟度的差距。

建议在欧盟层面应用良好实践并参与协调行动。

攻击对供应商造成了深远的影响，因为所使用的技术的相互依赖性和复杂性增加了。除了对受影响的组织和第三方造成的损害外，当机密信息被泄露、国家安全受到威胁，或者由此产生政治性质的后果，还有更深层的原因值得担忧。

在这个复杂的供应链环境中，建立良好的做法并参与欧盟层面的协调行动，支持所有成员国发展类似的能力，达到共同的安全水平都很重要。

该报告为公司管理供应链网络安全风险和管理与供应商的关系提出了大量建议。

对公司的建议包括:

识别和记录供应商和服务;

为不同类型的供应商和服务定义风险标准，如供应商和客户依赖关系、关键软件依赖关系、单点故障;

监控供应链风险和威胁;

在产品或服务的整个生命周期内管理供应商，包括处理报废产品和组件的程序;

对与供应商共享或可访问的资产和信息进行分类，并制定访问和处理这些资产和信息的相关程序。

该报告还建议采取可能的行动，以确保产品和服务的开发符合安全实践。

对供应商的建议包括:

确保用于设计、开发、制造和交付产品、组件和服务的基础设施符合网络安全规范;

实施与普遍接受的产品开发过程一致的产品开发、维护和支持过程;

监控由内部和外部来源(包括使用的第三方组件)报告的安全漏洞;

维护包含补丁相关信息的资产清单。

网络威胁的形势在不断演变。在威胁情报的支持下，决策者和实践者都需要获得关于当前威胁状况的最新和准确的信息。为了应对这一需求，自2012年以来，ENISA每年都会发布《威胁报告》。这些报告基于公开可用的数据，并对观察到的威胁行为、威胁因子、威胁趋势和攻击载体提供独立的观点。

ENISA成立了一个网络威胁报告特设工作组，与广泛的利益相关者互动，并在设计、更新和审查绘制网络威胁报告所需的方法方面获得支持。该机构提供一系列新兴技术和挑战的威胁分析。

关于供应链攻击问题，ENISA在2012年就发布了《供应链完整性报告》(2015年更新)，该报告确定了这些威胁的性质，并审查了可能的应对策略。（本文出自SCA安全通信联盟，转载请注明出处。）