iT邦幫忙

2024 iThome 鐵人賽

DAY 6
0
Security

資安銷售系列 第 6

來抓我啊 ! Catch me ,if you can !

  • 分享至 

  • xImage
  •  

真將是捶心肝! 駭客三番二次來造訪,每隔二週的週六下午2:00 : 還在我們的眼皮子底下寫了一行又一行的程序,好像我家是他家。
資安事件是許多資安人的日常處理工作,大家一定有許多驚險的故事,今天我真的是在關公面前耍大刀,內容敍述及用詞如有不精準敬請包函及指教。
我是業務,我期望這些分享可以帶出一些容易被忽略的管理細節 ; 没有十全十美的管理方式及資安產品,而每個產業推動的情資共享(N-SOC、F-SOC、H-SOC)即是期望達到前車之鑑的效果。
1、資安事件一

  • 事件 : 駭客大約連續進來4-5次,每隔二週的週六下午2:00準時報到,最後一次是在客戶的眼皮子底下寫程序,客戶有全面使用端點偵測(MDR)包含Server主機,每進來一次,MDR就叫一次。
  • 處理 : 我們翻遍所有對外服務的網站,而該做的滲透及弱掃每年都有定期執行,最後決定將所有對外服務的網站全部下線檢查,包含滲透弱掃以及LOG逐一檢查。
  • 根因 : 官網內有連結可連至歷史資料查詢區,有篇多年前活動的資料,裡面有一些填入資料的欄位,駭客利用其中一個欄位注入一串程序,意圖進來探底。
  • 事件學習 : 對外開放的網站有許多連結可查詢舊的活動資料,相關服務、或者相關單位 ; 這些連結大都連結至與原網站不同的網址,因此在執行檢測時可能因為這些網址不同而需要額外收費、或者我們覺得這只是舊資料而已,因而我們的檢測容易忽略了這些伸出去的旁支旁節。

2、資安事件二

  • 事件 :
    1.帳號被竊、資料被取。
    2.駭客把檔案複製到「MAIL」主機上公開網頁目錄,透過公開的「MAIL」主機Exchange網址將檔案下載。
  • 處理 : 此入侵並非為內部端點被植入後門程式引起,也不是由外部暴力密碼破解帳號導致 ; 在VPN 記錄中發現大量的「AAAA」帳號登入行為,在查找過程中也有查找到駭客使用「joindomain」帳號進行伺服器的登入。於是盤查VPN設備近幾個月的漏洞,在官方文件查找到了可疑足跡。
  • 根因 :
    1.最後確定VPN設備為入口,因設備未即時更新漏洞讓駭客有機可乘。
    2.進入的VPN帳號是先前專案提供給外部廠商使用,做為更換新電腦時加入網域使用的帳號。
  • 事件學習 :
    1.VPN設備未即時更新漏洞,此外也因為這款設備在市場上的聲量小,因而容易忽略相關訊息。相反的,許多人說Fortinet漏洞多,但也因為市場佔有率高聲量高,因此訊息流通高,監督的力量也大。
    2.未使用的帳號進行停用或移除處理。
    3.VPN連線時應使用多因子驗證機制。
    4.加入網域後的Local Admin帳號停用。
    https://ithelp.ithome.com.tw/upload/images/20240818/20168627Ol8fLfIhX4.jpg

上一篇
蹲馬步1、2
下一篇
看著你,我ㄟ心花開、心花開...
系列文
資安銷售31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言