思科 2022 黑客攻击分析

已发表: 2022-09-21

2022 年 5 月 24 日,思科的安全团队告知其存在违规行为。 攻击者设法获得了访问权限,提升了他们的权限,安装了远程访问和黑客软件,并采取了措施来维持对系统的访问。 他们设法一次完成所有这一切。 正如我们将看到的,这应该很容易预防。

虽然在回顾事情时我们都更聪明,但事实是,发生在思科身上的事情可能发生在任何管理 WordPress 环境的人身上。

本文将探讨黑客成功入侵的步骤,以及每个 WordPress 网站所有者和管理员如何防止在他们的 WordPress 网站上重蹈覆辙。

谁破坏了思科?

关于思科违规背后的一个或多个人知之甚少。 调查表明,IAB(初始访问代理)实施了攻击。 顾名思义,IAB 会闯入系统但不进行攻击。 一旦违规成功,他们就会安装软件来维护该访问权限。 然后将访问权出售或提供给将使用该访问权进行实际攻击的其他人。 有证据表明与三个恶意行为者有关——UNC2447、Lapsus$ 和 Yanluowang。

他们如何破坏思科

第 1 步:浏览器密码

攻击者首先获得了对员工个人 Google 帐户的访问权限。 通过使用被盗凭据登录 Chrome 浏览器,攻击者可以访问员工的密码,因为这些密码已保存在浏览器中并配置为同步。

分析

自 Netscape 和 Internet Explorer 的旧时代以来,浏览器已经走过了漫长的道路(这两种浏览器都已被载入计算机历史的史册)。 它们比以前更健壮,提供更丰富的功能集,并且更安全。

浏览器密码就是这样一种改进——允许用户直接在浏览器中保存他们的用户名和密码。 虽然这非常方便,但浏览器并没有强制执行密码管理器所做的那种安全最佳实践,这使得它们容易受到黑客攻击。

密码管理器要求用户使用一个必须适当复杂的主密码,并对任何保存的密码进行加密——使其难以被窃取。 一些密码管理器甚至允许您使用指纹或面部等生物识别技术——提高安全性和便利性。

虽然浏览器在密码安全方面已经开始迎头赶上,但它们还没有达到密码管理器的水平,这使得它们成为不合适的选择。

这里的另一个潜在安全风险是使用简单密码。 NordPass 在 2021 年进行的研究表明,尽管开展了大量宣传活动,但极其不安全的密码仍然普遍存在。 事实上,研究人员发现密码“123456”的使用次数超过 1.03 亿次,其次是同样可疑的“123456789”,使用次数超过 4600 万次。 如果您想知道,“密码”、“qwerty”和“iloveyou”等经典仍然存在于列表中。

这些密码只需不到一秒钟的时间就可以破解,这使得它们非常不安全。 使问题更加复杂的是密码破解软件变得更加先进,甚至可以解释特殊字符替换,例如将 a 替换为 @ 或将 e 替换为 3。

预防

很少有人喜欢输入长而复杂的密码,导致人们走捷径。 研究支持这一断言,这就是为什么帮助用户使用更好的密码如此重要的原因。

鼓励更好的密码卫生。

强密码是您可以采取的降低风险的最重要步骤之一。 强大的 WordPress 密码策略可以帮助您确保用户不使用诸如“123456”之类的密码,研究表明,这种密码仍然很常见。

使用 WordPress 密码安全插件 WPassword,您可以确保 T 遵循良好的密码实践。您可以设置自己的策略,帮助您获得让您感到舒适和满意的策略配置文件。

阻止用户在浏览器中保存密码是另一个重要步骤,可以帮助您(和您的用户)降低风险。 毕竟,不仅仅是他们的 WordPress 密码有被盗的风险——社交媒体、银行和所有其他密码同样面临风险。

密码管理器已成为主流,有许多解决方案可供选择。 密码管理器不仅消除了与在浏览器中保存密码相关的风险,而且还可以帮助您提供更强大的密码,如果密码泄露,有些人甚至会提醒您。

第 2 步:社会工程学

一旦攻击者设法访问员工的帐户,他们就会着手注册 2FA 设备以绕过 2FA 提供的安全机制。 由于 2FA 相当强大,攻击者发起了双管齐下的攻击,利用社会工程策略绕过 2FA。

  • 叉子一:2FA 疲劳——在 2FA 疲劳攻击中,攻击者尝试注册多个 2FA 设备,有效地迫使受害者处理多个 2FA 请求。 这种类型的攻击主要在推送通知中普遍存在,因为受害者所要做的就是接受——无论是由于无知、疲劳还是其他原因。
  • 爪子二:Vishing - Vishing 是一种社会工程攻击,攻击者在其中呼叫受害者(语音网络钓鱼),声称自己是处于权威地位的人。 这种假装的权威被滥用,让受害者觉得他们别无选择,只能服从来电者的要求。 这些要求可能包括泄露信息或采取某些行动,例如点击特定链接。

分析

社会工程仍然是攻击者用来绕过安全措施的最常用工具之一。 在某些情况下,攻击者可能会发现欺骗他人比处理安全系统更容易。 在这种情况下,攻击者不得不求助于社会工程来绕过 2FA。

社会工程有多种形式,需要全面的安全策略来确保攻击不会成功。 由于社会工程以人为目标,持续的宣传活动可以大大减少和减轻风险。

社会工程依赖于许多原则,包括恐吓、紧迫性、熟悉度、社会证明、权威和稀缺性。 这些原则被恶意使用,以使人们遵守他们本来不会同意的请求。

预防

添加双重身份验证

强密码只是第一道防线。 2FA 是优秀在线服务的另一个重要方面

能够阻止绝大多数在线攻击的安全性。 2FA,需要任何潜在的攻击者

还可以访问注册用户的电话——这非常困难。

思科的攻击者从未设法绕过 2FA 的防御 - 相反,他们依靠欺骗策略来欺骗 t

受害者同意了他们的请求——这最终让他们绕过了 2FA。

即便如此,2FA 仍然是在线帐户安全的强大解决方案,有助于阻止攻击,或者,

至少,减慢他们的速度。 幸运的是,将 2FA 添加到您的 WordPress 网站很容易。

投资于您的用户

用户教育是一个经常被忽视的强大工具——直到发生事故。 俗话说,预防胜于治疗。 积极主动比修复损坏更有益。

制定一项政策,除其他外,要求用户报告他们没有预料到的 2FA 请求,并明确表示即使他们错误地接受了任何此类请求——也应该报告。 用户往往害怕此类错误引起的反响,导致此类事件未被报告。 了解这可能发生在任何人身上——宽大处理和理解对您和您的用户都有帮助。

每隔一段时间花点时间了解一下政策,如果可能的话,让用户参加专为人员设计的短期网络安全课程。

第三步:权限提升

一旦攻击者获得初始访问权限,他们就会升级到管理员级别的权限,从而允许他们访问多个系统。 这就是最终泄露它们的原因,因为它提醒了安全响应团队——他们能够调查并将它们从环境中移除。

分析

在权限提升中,攻击者试图获得对具有比最初被破坏的权限更高权限的帐户的访问权限。 由于低权限帐户通常不像高权限帐户那样受到严格保护,因此它们更容易被入侵。 一旦获得初始访问权限,攻击者可能希望提升权限以访问更敏感的数据或造成更大的破坏。

预防

虽然 WordPress 总的来说是一个安全的应用程序,但它也不能免受攻击。 减少攻击面对于最大限度地降低风险至关重要。 这种减少攻击表面积的过程称为强化,可以在多个级别上完成,包括:

WordPress 加固
PHP 加固
Web服务器加固
OS(操作系统)加固
MySQL 加固

您可以强化哪些子系统将取决于您的 WordPress 的托管方式。 如果您有 WordPress 托管计划,您的托管服务提供商会执行大部分任务。 另一方面,如果您管理自己的服务器,则需要自己加固每个子系统。

第四步:工具安装

一旦攻击者获得足够的权限(在事件响应团队终止访问之前),他们就会安装各种持久性工具以确保他们可以保持访问权限。 这些工具将提供未来的访问权限——无论攻击者计划重新访问还是将访问权限出售给第三方。

分析

持久性工具和方法,也称为后门,具有双重危险,因为它们允许未来的攻击访问。 如果它们未被发现,它们将继续为攻击者提供对环境的持续访问。 由于大多数这些工具旨在避免检测,因此找到它们可能需要一些额外的工作。

像 Google 这样的供应商也可能将您的域或 IP 列入黑名单,从而对您的搜索引擎排名产生负面影响。 这可能更难以恢复,特别是如果在注意到违规之前就已经造成了相当大的损害。

WordPress 后门还利用了几个 PHP 函数,这可以使它们更容易被检测到。 这并不意味着所有后门都使用某些 PHP 函数,但需要牢记。

预防

查找攻击者留下的所有恶意软件和软件可能非常困难。 大多数 WordPress 管理员倾向于在最初的违规行为之前使用较早的备份。 几家公司还提供专业的 WordPress 清洁服务。 某些插件还可以帮助您找到 WordPress 恶意软件。

您应该使用的一个非常宝贵的工具是 WordPress 文件更改监视器,它是 WordPress 的文件完整性监视器。 这个免费插件基本上每次运行时都会获取文件系统的哈希值,然后将其与之前的哈希值进行比较。 如果任何文件有最轻微的变化,哈希将完全改变。 这将允许您开始调查以确定是否发生了违规行为。

另一个可以帮助您跟踪幕后情况的重要工具是 WP 活动日志。 使用此插件,您将保留 WordPress 活动日志,让您深入了解 WordPress 网站的用户和系统活动,让您尽早发现可疑行为。 借助 3rd 方插件集成和电子邮件或 SMS 警报等功能,您将能够随时了解最新信息。

全面的安全计划是唯一的安全计划

对思科的攻击表明,黑客在实施攻击方面变得更加创新和复杂——使用多个向量来增加成功入侵的机会。 虽然像安装防火墙这样的措施仍然很重要,但它们并不是传统智慧所描绘的灵丹妙药。 相反,需要一种更全面的方法来确保我们的 WordPress 网站在各个方面都受到保护。

正如思科漏洞向我们展示的那样,多层对于确保 WordPress 安全加固至关重要; 然而,人的因素仍然必不可少。 在许多方面,用户是任何 WordPress 网站成功的利益相关者,虽然实施诸如最小权限等政策势在必行,但用户教育也是如此。