《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 棱鏡門從未消失,服務(wù)器后門威脅仍在肆虐

棱鏡門從未消失,服務(wù)器后門威脅仍在肆虐

2021-10-18
來(lái)源:安全牛
關(guān)鍵詞: 棱鏡門

  盡管棱鏡門事件已經(jīng)過(guò)去了近8年,但數(shù)據(jù)守衛(wèi)的戰(zhàn)爭(zhēng)從未停止,服務(wù)器數(shù)據(jù)竊取及其罪魁禍?zhǔn)住昂箝T程序”仍在肆虐。

  關(guān)于棱鏡門

  棱鏡計(jì)劃(PRISM)是由美國(guó)國(guó)家安全局自2007年起開(kāi)始實(shí)施的絕密電子監(jiān)聽(tīng)計(jì)劃,2013年6月,這一計(jì)劃被前中情局(CIA)職員愛(ài)德華·斯諾登曝光,涉及多個(gè)國(guó)家、多個(gè)領(lǐng)域的機(jī)密數(shù)據(jù)竊聽(tīng)。

  在棱鏡門事件中,跟大眾息息相關(guān)的是,斯諾登向美國(guó)《華盛頓郵報(bào)》披露的服務(wù)器數(shù)據(jù)竊聽(tīng)事件,根據(jù)斯諾登提交的資料,2007年-2013年6年間,美國(guó)國(guó)家安全局和聯(lián)邦調(diào)查局通過(guò)進(jìn)入多家網(wǎng)絡(luò)巨頭的服務(wù)器,監(jiān)控公民的秘密資料,影響人數(shù)過(guò)億。

  盡管涉事方都矢口否認(rèn),但棱鏡門事件在全球范圍引起巨大影響,對(duì)服務(wù)器數(shù)據(jù)安全的保護(hù)也從企業(yè)和個(gè)人層面,提升到國(guó)家級(jí)戰(zhàn)略高度。

  沒(méi)有絕對(duì)的安全,棱鏡門一直在身邊

  曾經(jīng)一度有人認(rèn)為,只要對(duì)服務(wù)器進(jìn)行物理隔離,就能避免數(shù)據(jù)泄露。其實(shí)不然,隨著黑客攻擊手段的進(jìn)步,物理隔離環(huán)境已不再安全。電磁、聲音、熱感、光學(xué)和震動(dòng)等多種邊信道攻擊方法,以及供應(yīng)鏈攻擊等,都有可能導(dǎo)致隔離環(huán)境的數(shù)據(jù)泄漏。

  黑客一般利用漏洞上傳后門程序,或者在補(bǔ)丁及其他安裝程序中夾帶后門,在成功入侵服務(wù)器后,二進(jìn)制類后門(MSF、CobaltStrike、Mimikatz、Metasploit等)會(huì)執(zhí)行并收集數(shù)據(jù),再通過(guò)外帶傳輸、隱秘隧道等方式外傳數(shù)據(jù)。

  近期備受攻擊者追捧的內(nèi)存馬webshell,執(zhí)行方式更為隱蔽,其攻擊原理是在內(nèi)存中寫(xiě)入惡意后門和木馬程序并執(zhí)行。因?yàn)槠淅弥虚g件的進(jìn)程執(zhí)行某些惡意代碼,不會(huì)有文件落地,屬于無(wú)文件攻擊的一種,反病毒引擎很難發(fā)現(xiàn),給企業(yè)安全檢測(cè)帶來(lái)更大挑戰(zhàn)。

  杜絕棱鏡門“四部曲”

  后門雖然隱蔽性強(qiáng)、難以發(fā)現(xiàn),但是做好防上傳、防執(zhí)行、早發(fā)現(xiàn)、防外連4項(xiàng)工作,就能有效防御后門利用,杜絕棱鏡門發(fā)生。

  ①防上傳:切斷后門上傳途徑

  后門上傳的大部分途徑是Web流量,但攻擊者一般會(huì)利用加密Webshell等方式做流量混淆,因此一般的WAF類設(shè)備很容易被繞過(guò)。目前比較有效的方式是基于RASP技術(shù)保護(hù)Web中間件,RASP插件一般作用于ASP、PHP、Java等腳本語(yǔ)言解釋器內(nèi)部,通過(guò)HOOK函數(shù)的方式,跟蹤Web請(qǐng)求上下文,識(shí)別可疑行為,進(jìn)行針對(duì)性的響應(yīng)處置,能有效阻止利用漏洞上傳或創(chuàng)建后門程序。

 ?、诜缊?zhí)行:免疫二進(jìn)制后門

  啟用白名單防護(hù)策略,自動(dòng)學(xué)習(xí)已啟動(dòng)應(yīng)用清單,并綜合威脅情報(bào)、病毒告警等信息,快速識(shí)別出可信應(yīng)用白名單,非白名單應(yīng)用,如后門程序、勒索病毒、挖礦病毒以及其他未知應(yīng)用程序等將無(wú)法運(yùn)行,最終實(shí)現(xiàn)對(duì)二進(jìn)制后門免疫。

③早發(fā)現(xiàn):及時(shí)體檢

  也許很多企業(yè)的業(yè)務(wù)系統(tǒng)存在后門程序已久,只是還未發(fā)現(xiàn),此時(shí)給系統(tǒng)做一個(gè)全面的檢查就顯得尤為重要。國(guó)內(nèi)有不少?gòu)S商可以提供這方面的服務(wù)或產(chǎn)品,如奇安信基于“特征+行為”的雙重檢測(cè)引擎,可以做到精準(zhǔn)發(fā)現(xiàn)后門程序,還原后門攻擊途徑,實(shí)現(xiàn)早發(fā)現(xiàn)、早治療的目的。

④防外連:將危害降到最低

  在后門防治中,切斷外連途徑是關(guān)鍵,一方面防止數(shù)據(jù)外泄,另一方面阻止失陷服務(wù)器橫向擴(kuò)散,污染更多服務(wù)器資產(chǎn)。除了后門外,部分原本可信的白名單應(yīng)用也可能存在非法外連、傳輸數(shù)據(jù)的行為,因此要格外注意這些非法外連,將危害降到最低。

  數(shù)據(jù)安全無(wú)小事,無(wú)論是國(guó)家政策層面,還是實(shí)際業(yè)務(wù)層面,我們都應(yīng)該在服務(wù)器端做好數(shù)據(jù)安全工作,其中關(guān)鍵工作之一是要做好后門防治工作,杜絕服務(wù)器棱鏡門再次發(fā)生。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。