3CX通信软件泄露变成历史上最先個個公开记录“供应链攻击导致另一個供应链攻击”大事,确认受害者涵盖能源部门两個根本基石设施组织、金融部门两個组织,
供应链攻击试图经由受信任外部供应商软件更新机制渗透受害者系统,于是逃避网络保障防御,
针对3CX攻击活动始于不受持助X_TRADER金融软件木马化版本,这随后导致公司、软件、客户损失,来自ESET遥测数据说明,客户端运用数百個恶意3CX应用程序,
分析显示,一旦安装带有木马动态链接库〔DLL〕X_TRADER软件,它就会收集信息,窃取数据〔涵盖来自多個浏览器凭据〕,并使攻击者能够在被攻破计算机上发布命令,这种未曾有过访问也被用来破坏3CX软件,利用它向公司企业客户发送窃取信息恶意软件,
在调查以Linux运用者为意向“Operation DreamJob”活动时,ESET研究人员发现其与拉撒路组织〔Lazarus group〕存在关联,
反而,难题是,当公司所有保障层都部署到位,但危险来自供应商或可信任协作伙伴时,公司应该如何呵护自己?
大事回顾
X_TRADER是Trading Technologies开发一款专业金融交易工具,该公司于2020年4月停用这款软件,但直到2022年仍可下载,与此同时在此期间,供应商网站遭到入侵,转而供应恶意下载,研究显示,Lazarus组织大概在2022年侵入Trading Technologies,虽说Trading Technologies表达,他们早已通知客户将在2020年4月之后不再持助或服务X_Trader,但伴随人们继续下载这款被置若罔闻软件,该软件现在已受到损害,
他们在声明中写道:“鉴于公司在2020年初之后停止托管、持助、服务X_Trader,任何人都没有理由下载该软件,”该公司进一步披露,在2021年11月1日至2022年7月26日期间,只有不到100人下载受感染X_Trader软件包,这是一個很小数字,但具有累积效应,
其中一個下载X_Trader人还是3CX员工,他在自己個人电脑上安装受感染软件,该软件包含恶意软件,ESET将其检测为Win32/NukeSped. MO〔又名VEILEDSIGNAL〕,
3CX最先席网络官Agathocles Prodromou在公司博客上写道,“在员工個人电脑起初被VEILEDSIGNAL恶意软件入侵后,Mandiant评估称,攻击者从员工系统中窃取该员工3CX公司凭据,VEILEDSIGNAL是一個功能齐全恶意软件,它为威胁行为者供应管理员级其他访问权限、对受感染系统持久性,”
经验教训
1. 运用合法来源且经过验证、更新软件
整個大事始于一名员工下载一個自2020年4月以来便不受持助软件应用程序,这应该提醒咱们:运用经过验证、更新软件是至关要紧,因不受持助软件很容易被恶意行为者滥用,
下载软件时,将其哈希值与供应商供应哈希值实行相对,供应商往往会在下载链接旁边发布哈希值,或者您可以直接联系他们并要求供应这些哈希值,倘若这些散列不匹配,那么将意味着您正在下载修改过软件,
同样地,确保从合法网站下载软件,因骗子可以创建一個高度仿真假冒网站来欺骗运用者,
倘若您不确定文件散列或网站合法性,请探究运用VirusTotal实行检测,这是一款全民免单搜索引擎类工具,它可以分析文件、域、IP地址、URL,以判断给定防病毒搞定方案是否检测到提交文件为恶意文件,它还在多個沙箱中运行样本,
2. 提高员工保障意识
在3CX员工個人电脑上安装恶意软件后,攻击得以继续实行,由此,威胁行为者能够窃取员工凭据并渗透3CX整個公司系统,
防止这种情况最优实践是运用数据加密、多因素身份验证〔MFA〕来防止对企业系统非法访问,创建多层防御,使骗子更难获得访问权限,
同样地,访问权限也应该得到更严格管理,没有必需让所有员工对所有公司环境都持有相同访问权限,显然,管理员、软件工程师须要更广泛访问权限,但他们访问权限也大概不同样,
敏感数据也应该远离员工设备,只能经由保障云系统共享,最卓著经由额外云、服务器保障措施实行呵护,
3. 遵循强密码策略
持有无敌密码策略可以在很大层次上防止攻击,但是经由连续更改密码、对密码复杂性广泛要求来恐吓员工是百分之百没必需,目前势头是用密码短语代替准则密码,这是一种更保障、更难以猜测密码替代方案,
过去,一個被感觉是强密码密码至少有8個字符,涵盖大写字母、小写字母,至少一個数字、一個特殊字符,这种方法带来难题,因在所有运用过网站、设备上记住几十個各异复杂密码是一件痛苦事情,所以人们倾向于在各异地方重复运用相同密码,这也使他们更容易受到暴力破解攻击、凭据填充攻击,
因为这個,专家们不再要求运用一串随机字符,而是主张运用易于记忆短语,这些密码依旧应该包含数字、特殊字符,涵盖表情符号,以防止机器轻易猜出它们,Passkey也是一個值得一提选择,因它们运用加密来供应更高级其他呵护,
4. 探究特权访问管理
特权访问管理〔PAM〕可以防止攻击者访问具有敏感数据访问权限特权公司帐户,比方说经理、审计人员、管理员帐户,
为呵护这些有价值帐户不被泄露,应该有一些额外呵护层:就时〔JIT〕根本资源访问权限、监视特权会话以及更严格密码策略等等,
在供应链攻击中,供应商、协作伙伴都是攻击者通往您系统途径,因为这個,为它们奠定严格保障需求也是一個好主意,您还可以实行第三方数据泄漏检测或保障评估,以便在黑客有机遇利用它们之前,发现任何数据泄漏、保障漏洞,
5. 应用最新补丁
作为3CX供应链攻击一一部分,攻击者利用Windows签名验证功能中一個漏洞,值得一提是,微软早在2013年就修复这個漏洞,
但大概是由于担心应用修复意味着Windows不再验证不兼容文件签名,所以一一部分运用者并未选择修复该漏洞,这就给黑客留下足够行动空间,为木马化3CX应用程序,攻击者将恶意代码插入到它运用两個DII中,这样易受攻击Windows系统依旧会验证签名,
修复供应商漏洞是防止此类威胁根本,所以只要有大概,尽快获得最新保障补丁及应用程序、操作系统更新,
6. 把保障准则定得高一些
您可以从正确反恶意软件入手,最先进网络保障搞定方案供应多层呵护,可以在下载或执行之前识别已知威胁,
在恶意软件已经感染设备情况下,您防护机制应该检测并响应大概试图擦除文件或加密文件恶意软件,比方说擦除器或勒索软件,
别忘记检查您是否安装最新版本端点呵护工具,
下一步是减少您攻击面,正如3CX攻击所说明那样,漏洞不光是软件难题,简单人为错误也大概导致毁灭性后果,
公司还应该为保障大事准备保障响应计划,这些往往涵盖准备、检测、响应、恢复、大事后分析,同样地,别忘记持续备份文件,以确保业务在中断情况下连续性,
网络保障既关乎软件,也关乎人类
结论很明确:3CX攻击证明供应链攻击是多么险恶,但它着重最要紧事情是,只要一個人为错误行为,整個纸牌屋就会倒塌,
希望在阅读完这篇文章后,您能更好地理解如何准备应对来自软件供应商威胁向量,虽说人为错误大概无法防止,但一個健全网络保障态势至少可以缓解大多数网络恐惧。
参考及来源:https://www.welivesecurity.com/en/cybersecurity/recovering-from-a-supply-chain-attack-what-are-the-lessons-to-learn-from-the-3cx-hack/