2021年網絡安全事件中的經驗教訓

段鐵興

雖然SolarWinds軟件供應鏈攻擊事件已經過去一年，但我們仍在努力充分了解此類攻擊的潛在破壞性。在此事件中，攻擊者是十分隱秘的，最終被發現也只是因為受影響的公司之一FireEye具有監控和檢測入侵的超凡能力。

了解供應商的安全狀況很有必要

你也許想過：面對這種情況，我的公司是否有工具和資源來了解此類攻擊是否正在發生？對此，本人的猜測是，你不僅不會意識到存在入侵行為，甚至你們中的許多人并不具備這么做的能力和資源。根據微軟的說法，攻擊者能夠“偽造SAML令牌來模擬組織的任何現有用戶和帳戶，包括高特權帳戶。

這件事情為我們敲響了警鐘：讓我們重新考慮所裝軟件的來源，以及重新審視對供應商及其安全流程的信任度，更不用說我們自己的安全流程了。

經驗教訓：與您的軟件供應商一起審查他們的安全流程。尋找異常行為，尤其是在高特權帳戶中，查看將憑據添加到可以執行諸如mail.read或mail.readwrite之類的操作的進程。此外，還需要阻止網絡外圍防火墻中的已知C2端點。

Exchange Server攻擊：保護遺留系統

2021年3月，又發生了一次極具破壞性的攻擊———攻擊者使用零日漏洞直接攻擊本地安裝的Exchange服務器。微軟最初表示這些攻擊是有針對性的，但后來發現這些攻擊更為廣泛。微軟還發現許多郵件服務器嚴重過時，很難讓它們實現快速更新，微軟必須為這些遺留平臺準備補丁，才能確保客戶安全。

2021年4月，美國司法部還針對此事宣布了一項法院授權的行動，該行動將授權FBI從美國數百臺用于提供企業級電子郵件服務的Microsoft Exchange服務器中，先收集大量被攻陷的服務器，再將這些服務器上的WebShell進行拷貝，然后再刪除服務器上的惡意WebShell。

經驗教訓：確保任何遺留服務器都受到保護。特別是本地Exchange服務器，它們更易成為目標。確保分配適當的資源來修補這些遺留系統。電子郵件是網絡的關鍵“入口點”，一方面是攻擊者可以通過電子郵件實施網絡釣魚攻擊，另一方面是攻擊者了解修補這些遺留服務器的難度。

此外，不要完全依賴供應商提供的威脅和風險評估。微軟最初表示，這些攻擊是有限的和有針對性的，但實際上它們的范圍要廣得多，甚至會影響到小公司。

PrintNightmare：保持打印機更新

2021年7月，Microsoft針對名為PrintNightmare的漏洞發布了帶外更新。根據微軟安全公告稱：“當Windows Print Spooler服務不正確地執行提權文件操作時會觸發遠程代碼執行漏洞。成功利用該漏洞的攻擊者可以系統權限運行任意代碼，安裝程序；查看、更改或刪除數據；或以完整的用戶權限創建新賬戶。“

對于網絡管理員來說，PrintNightmare已經變成了打印管理的噩夢。Print Spooler軟件是老舊的NT時代代碼，許多人曾敦促微軟完全重寫，但這會對第三方打印供應商造成重大破壞。雖說疫情大流行已經將我們從面對面打印過渡到遠程打印流程，但即便是PDF打印機也需要依賴Print Spooler來部署和打印為PDF。

時至今日，安全研究人員仍在追蹤當時發布的多個Print Spooler相關補丁的后續影響。2021年12月底發布的可選更新中包含對幾個打印相關問題的修復。它修復了當連接到Windows打印服務器上共享的遠程打印機時，Windows打印客戶端可能會遇到的一些錯誤問題：

0x000006e4（RPC_S_CANNOT_SUPPORT）

0x0000007c（ERROR_INVALID_LEVEL）

0x00000709（ERROR_INVALID_PRINTER_NAME）

不過，考慮到這些更新的破壞性副作用，一些網絡管理員選擇不打補丁。

經驗教訓：即使在疫情大流行中，我們仍然需要打印服務。每當更新包含針對print spooler服務的修復程序時，必須在更新之前分配適當的資源進行測試。

可以使用PatchManagement.org或reddit上的Sysadmin論壇等第三方資源，來監控需要實施的解決方案，而不是選擇讓您的公司完全不受保護。print spooler服務只需在必須啟用打印的設備和服務器上運行，其他應該禁用。

勒索軟件：阻止RPC和SMB通信

進入2022年，勒索軟件仍將是主要網絡安全風險。它現在已被納入網絡保險政策，美國政府也已組織專家組為企業提供更多保護、信息和指導以應對這種風險。

經驗教訓：使用本地和網絡防火墻來阻止RPC和SMB通信，這將限制橫向移動以及其他攻擊活動。接下來，開啟防篡改功能，防止攻擊者停止安全服務。然后強制執行強大、隨機的本地管理員密碼。此外，還建議使用本地管理員密碼解決方案（LAPS）來確保您擁有隨機密碼。

監控事件日志的清除。具體來說，Windows會在發生這種情況時生成安全事件ID 1102。然后，需要確保面向Internet的資產擁有最新的安全更新。定期審計這些資產是否存在可疑活動。最后，確定高特權帳戶的登錄情況以及處于暴露狀態的憑據，總之，工作站上不應存在高特權帳戶。