攻击面管理有多重要?从一个社工钓鱼的仿冒网站说起

news2024/12/23 18:19:59

2023年4月中旬,A企业紧锣密鼓地展开了重保前期的筹备。A企业是一家集团公司,业务范围广,资产众多,为了提前了解自身安全情况,探知未知风险,公司通过自身资产清单及配套手段对自身资产暴露情况进行了梳理。

经过一周的收集整理,A企业发现仅凭自身手段暂时无法完全覆盖业务资产范围,于是开通了腾讯安全威胁情报中心的攻击面管理平台(以下简称“TIX-ASM”)的使用。

在一轮严密的资产排查后,TIX-ASM发现A企业存在许多高危风险,除了漏洞、网站内容篡改、高危端口等攻击者常利用的弱点外,还发现了以社工钓鱼为目的的仿冒资产。

本文还原了腾讯安全攻击面管理帮助企业在重保时期梳理攻击面、并且及时处置和溯源的全过程。

图1 TIX-ASM发现异常威胁事件

分析过程

1、摸清家产结果

开通权限后,A企业通过TIX-ASM的底层资产挖掘引擎挖掘出企业不同类型的数字资产,包括IP地址、域名、网站、小程序、公众号、安装工具及其APP等。其各种资产类型其中域名和IP地址最多,各类型的资产内容分布占比如下图2:

图2 各类型数字资产
图3 资产详情

经过一轮资产发现,A企业针对结果进行了比对和验证,TIX-ASM得到了预期效果,共识别资产2794个。

2、重点资产威胁事件

摸清家底后,TIX-ASM对用户关心的重点敏感资产和潜在风险进行了分析。除了漏洞风险、网站内容篡改、高危端口、常被利用的敏感服务等攻击者常利用的弱点,TIX-ASM还发现了两个重点异常威胁事件,并协助用户的安全人员一起进行了处置和溯源。

TIX-ASM在影子资产(遗忘的边缘资产、合作方资产、仿冒资产、未经批准的网站或设备等)排查过程中,发现某网站内容与企业简称有强相关性,且刊登了一则《xxx员工xx健康问卷调查》。整个页面支持正常内容填写,登记近期是否发烧等健康状态,同时还有个人信息、邮箱。同时支持修改密码:如果忘记账号密码,可通过下列二维码进入xxx管理系统修改。

图4 xx管理系统二维码

最初,A企业初判此类内容网站已收录至公司内部网络管辖范围内。但由于发现此网站的服务IP所在地域异常,此服务可疑度较高,所以腾讯安全专家决定进一步排查。通过与用户的运营人员的排查和确认,此网站内容非企业内部行政部门批准下发的调查问卷,而业务服务也并未经过正常上线流程批准,最终判定为社工钓鱼为目的的仿冒资产。后续A企业将相关URL进行了内网排查,以及进一步做了仿冒业务申报以推进下线避免造成更多危害。

这时,安全人员提出一个问题:用户是怎么研发出和公司内部网站相似度十分高的页面呢?

  • 合作方临时部署后未及时下线;

  • 内部员工出于业务需要私自搭建的系统(未走审核流程);

  • 内部临时搭建的测试页面;

  • 相关代码泄露被外部人员利用仿造网站等。

根据多年相关威胁事件的追踪,这几类相似性高的资产分布情况如下:

图5 相似性高资产的分布

 由于仿冒网站与真实业务相似度较高,存在以真实业务代码进行仿冒的可能性,在和A企业沟通分析后,在TIX-ASM上启动了信息泄露监测服务。经证实,TIX-ASM确实发现此网页代码泄露在公网中。通过代码获取和分析,确认了仿造出网站的可能性。因此基本确认,此次业务网站仿冒事件存在因系统代码泄露,造成外部人员仿冒部署此网站的可能。

图6 xx网站代码泄露

 同时,在盘点资产过程中,A企业担心仿冒网站页面二维码也有潜在风险,其跳转的页面显示为“后端管理系统”。在经过TIX-ASM的资产聚类分析算法模型分析处理后,确认了此后端系统与客户企业的归属关系。这带来了用户企业的新的问题:这个后端管理系统目前还在使用吗?

基于大数据分析系统回扫发现,此域名在最近1年访问量有激增趋势,可认为正由不活跃态转为活跃态。

图7 热度趋势图

 考虑到此网站业务存在时间较长,存在内部搭建的可能。于是A企业与内部相关人员进行了复盘、排查和确认,获取到了更多的信息。此网站为大约5年前某业务在测试阶段搭建的页面服务,因为后续网站其他业务持续迭代,此页面已处于不再使用状态。由于新的实际业务已在运行中,此测试页面未纳入内部管理范围内。同时,通过进一步排查,管理人员发现此系统还存在1个泄露在外的普通权限的账号,从而被有心人利用形成仿冒业务。在全面盘点后,用户企业对该临时测试页面进行了下线关停。

事件定性总结:攻击者通过外部泄露的xx网站代码和几年前的xx管理系统权限,然后模拟出仿冒网站服务,获取员工的账号、邮箱、密码等信息。

图8 事件分析过程图

3、溯源分析

在整个事件过程复盘分析中,A企业存在一个最后疑问:攻击者到底是谁呢?

为了实现这个追踪溯源出的目标,腾讯安全的威胁分析师根据仿冒资产使用过的IP地址为线索(此IP地址为代理秒播,但从已建立的安全知识图谱和聚类算法对依据此IP进行聚类分析),从威胁指标IOC(Indicators of Compromise)、网络基础信息(IP、域名归属者等)、反查域名历史等数据进行拓线分析,怀疑此IP地址为某安全团队使用(攻防演练的攻击方)。同时,基于此假设对此IP地址进行多层聚类分析验证,发现其关联真实IP所属也与此团队所在地理位置相符。后经确认,此IP确为攻防演练的攻击方所用。

图9 聚类分析过程
图10 聚类分析结果

重保时期常用手法

根据往年攻防对抗发展趋势来看,除了常用的攻击方式外(如利用漏洞进行提权、横向渗透),弱密码和各类型社会工程学手段(如钓鱼)也有了更广泛的应用。并且,通过新型媒体平台(如小程序、公众号)成为新的社工突破口。由于其未纳入企业资产管理范围,具体管控方式也不如网站、IP资产完善和成熟,很容易成为攻防对抗中的突破口。

在社工手段中,主要方式是通过对员工、老板、合作方等通过邮件、招聘、报销等具有吸引力的内容进行边界突破。使用的内容往往结合当下实时热点话题,高阶策略额甚至会关联泄露在外的真实员工信息、邮箱、账号密码、代码等内容。因为内容的吸引力和部分信息的真实性,让攻击目标(受害人)很难发现攻击者的目的。

同时,各种弱密码登录入口也是攻击者比较聚焦的。例如网站登录弱密码、常用组件弱密码、常用服务配置弱密码、远程登录弱密码、文件传输弱密码在各类入侵事件中,都是第一波试探性攻击的目标范围。在多次安全事件中,腾讯安全威胁情报中心发现,大多数软件管理、配置、登录的入口,会默认配置一些用户名和密码成为脆弱的入侵点。例如常见的弱密码组件如下所示:

表1 常存在弱密码组件示例

组件

弱密码(账号/密码)

Memcached

默认端口无密码

ElasticSearch

未授权访问无密码

若依

admin/admin123

Tomcat

Admin/admin

Tomcat

tomcat/tomcat

Tomcat

tomcat/s3cret

MAPZONE Server

MapZone/MapZone

phpmyadmin

root/root

phpmyadmin

root/root123

weblogic

weblogic/weblogic

基于某行业历史攻击事件的统计,弱密码类型的分布如下

图11 某行业弱密码类型

 腾讯安全攻击面管理推出免费试用申请

以外部攻击者的视角对企业业务的攻击面进行持续性检测、分析研判,可有效提升企业自身对资产的掌控,并发现未知风险,并采取措施缓解威胁和降低风险。腾讯安全攻击面管理TIX-ASM基于数据挖掘、网络空间测绘、无感知半连接技术、指纹库等技术,提供业界领先的互联网暴露面(服务、端口、组件)与漏洞风险的纵深探测服务,帮助用户快速梳理自身资产并收敛攻击面。

在重保期间,腾讯安全推出TIX-ASM免费试用活动,协助企业进行暴露面收敛和边界防御。有需要的企业可点击链接,进行领取。

收集表腾讯文档-收集表https://doc.weixin.qq.com/forms/AJEAIQdfAAoAL8ACgb_ACcMmXhpEUHSOf?cgi_relogin=1&pass_ticket=z4kMnbjmADO4Lj29XbyvEsQizHTc0e%2BRrsMgmNbyDwl04TuP4nTxLhuPEpB9NkjuxQbXCW7DAJNLUDrcGNhLoQ%3D%3D&sid=z8hXbYxLLUou0WdWAGY0cwAA#/fill

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/560378.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

总结springboot项目中一些后端接收前端传参的方法

文章目录 1、java方法入参里面什么注解都没有2、不使用&#xff1f;&来拼接参数&#xff0c;在参数中添加PathVariable注解3、RequestBody 先创建一个springboot项目&#xff0c;并在pom文件中添加web依赖&#xff1a; <dependency><groupId>org.springframewo…

Linux:LVM动态磁盘管理

Linux中的LVM是什么 LVM&#xff08;Logical Volume Manager&#xff09;是Linux系统中的一种动态分区技术&#xff0c;它允许将多个物理硬盘上的存储空间组合成一个或多个逻辑卷&#xff08;Logical Volume&#xff09;&#xff0c;并且可以在运行时对逻辑卷进行调整。LVM的设…

Unity UI -- (7) 创建世界空间UI

目前为止&#xff0c;我们已经设计了一个屏幕空间UI&#xff08;Screen Space UI&#xff09;。一个屏幕空间UI会在屏幕上平坦放置&#xff0c;它会被渲染到环境中所有东西的上面&#xff0c;无论相机位置在哪里。 而一个世界空间UI&#xff08;World Space UI&#xff09;能够…

什么是半实物仿真平台自动驾驶半实物仿真平台有哪些?

文章目录 半实物仿真平台介绍自动驾驶半实物仿真平台介绍1.CARLA2.AirSim3.LGSVL Simulator 半实物仿真平台介绍 半实物仿真平台是一种综合利用虚拟仿真和实际硬件设备的仿真系统。它将虚拟环境和真实硬件设备结合起来&#xff0c;旨在提供更真实、更准确的仿真体验。 在半实…

Hack The Box真实靶机环境搭建教程

Hack The Box真实靶机环境搭建教程 1.开启测试靶机的方法2.Windows连接HTB3.Kali连接HTB 1.开启测试靶机的方法 在机器列表中选择一台主机&#xff1a; 选择加盟主机&#xff1a; 靶机开启成功&#xff1a; 2.Windows连接HTB 下载安装OpenVPN&#xff1a; 下载VPN&#xff08…

Linux---文本处理命令(grep、wc、管道符 |)

1. grep命令 grep命令能够在一个或多个文件中&#xff0c;搜索某一特定的字符模式&#xff08;也就是正则表达式&#xff09;&#xff0c;此模式可以 是单一的字符、字符串、单词或句子。 注意&#xff1a;在基本正则表达式中&#xff0c;如通配符 *、、{、|、( 和 )等&#…

【STM32G431RBTx】备战蓝桥杯嵌入式→决赛试题→第十三届

文章目录 前言一、题目二、模块初始化三、代码实现interrupt.h:interrupt.c:main.h:main.c: 四、完成效果五、总结 前言 无 一、题目 二、模块初始化 1.LCD这里不用配置&#xff0c;直接使用提供的资源包就行 2.ADC:开启ADCsingle-ended 3.LED:开启PC8-15,PD2输出模式就行了…

从前序与中序遍历序列构造二叉树(java)

从前序与中序遍历序列构造二叉树 leetcode 105 题-原题链接题目描述解题思路往期经典二叉树递归题目&#xff1a; leetcode 105 题-原题链接 从前序与中序遍历序列构造二叉树 题目描述 给定两个整数数组 preorder 和 inorder &#xff0c;其中 preorder 是二叉树的先序遍历&a…

【论文阅读系列】NWD-Based Model | 小目标检测新范式,抛弃IoU-Based暴力涨点(登顶SOTA) 计算机视觉

NWD-Based Model | 小目标检测新范式&#xff0c;抛弃IoU-Based暴力涨点(登顶SOTA) 计算机视觉 参考&#xff1a;博客1 知乎2 在这里进行纪录分享&#xff0c;这是有用的资料&#xff0c;避免之后再寻找相当麻烦。 小目标检测是一个非常具有挑战性的问题&#xff0c;因为小目…

监控易:信创工程,几十万台终端设备桌面集中监控运维方案​

监控易&#xff1a;信创工程&#xff0c;几十万台终端设备桌面集中监控运维方案 从2019年开始,我国因国际国内形势的迫切要求,在信息和网络安全方面启动 “安全可靠工程”,全面深入推进信创运维及相关产品国产化。时至今日&#xff0c;已取得令世人瞩目的成果。 过去&#xff…

learn_C_deep_14 (条件编译的基本使用与理解)

目录 条件编译 1.条件编译如何使用&#xff1f; 2.为何要有条件编译? 3. 条件编译都在哪些地方用? 条件编译 1.条件编译如何使用&#xff1f; C语言的条件编译是一种在程序编译时根据条件选择不同代码段进行编译的技术。条件编译可以用于实现代码跨平台&#xff0c;开启…

C++小知识点(auto关键字)

&#x1f339;作者:云小逸 &#x1f4dd;个人主页:云小逸的主页 &#x1f4dd;Github:云小逸的Github &#x1f91f;motto:要敢于一个人默默的面对自己&#xff0c;强大自己才是核心。不要等到什么都没有了&#xff0c;才下定决心去做。种一颗树&#xff0c;最好的时间是十年前…

猿创征文|Spring系列框架之面向切面编程AOP

⭐️前面的话⭐️ 本篇文章将介绍一种特别重要的思想&#xff0c;AOP&#xff08;Aspect Oriented Programming&#xff09;&#xff0c;即面向切面编程&#xff0c;可以说是OOP&#xff08;Object Oriented Programming&#xff0c;面向对象编程&#xff09;的补充和完善。 …

Springcloud1---->Zuul网关

目录 简介加入zuul后的架构快速入门添加Zuul依赖编写zuul启动类编写zuul配置文件编写路由规则 面向服务的路由添加Eureka客户端依赖开启Eureka客户端发现功能添加Eureka配置&#xff0c;获取服务信息修改映射配置&#xff0c;通过服务名称获取 简化的路由配置过滤器使用场景自定…

这个 堆排序详解过程 我能吹一辈子!!!

文章目录 堆排序的概念堆的分类堆排序的算法思想堆排序的实现 堆排序的概念 堆是一种叫做完全二叉树的数据结构&#xff0c;可分为大根堆、小根堆&#xff0c;而堆排序就是基于这种结构产生的一种排序的算法。 堆的分类 大根堆&#xff1a;每个节点的值都大于或者等于它的左…

SpringBoot 读取 yml 文件属性值常用法总结

开发过程中有一些常量配置一般会写在application.yml文件中&#xff0c;而Spring Boot读取yml文件的主要方式有以下几种: 一、使用Value注解 在bean的属性上使用Value注解,直接读取yml中的值,如: 但这里面写法也有一些情况&#xff1a;其实这种写法对于 String 字符串其实没有…

计算机网络考试周极限复习--1

第一章 时延 因特网协议栈和OSI参考模型 应用层&#xff1a;报文 HTTP&#xff08;提供了Web文档的请求和传送&#xff09;&#xff0c;SMP&#xff08;提供了电子邮件报文的传送&#xff09;&#xff0c; FTP&#xff08;它提供两个端系统之间的文件传送&#xff09; 运输…

【线下|05.27】|StarRocks Friends 杭州站

StarRocks & Friends 是由 StarRocks 社区发起的城市线下 meetup&#xff0c;旨在联合社区与行业的专家小伙伴们分享基于 StarRocks 的最佳实践、大数据分析的前沿技术和 StarRocks 生态融合等热门话题。 不远千里奔赴&#xff0c;只为与你相聚。这个夏天&#xff0c;让我们…

Python大火,零基础还能学习么?

Python近段时间一直涨势迅猛&#xff0c;在各大编程排行榜中崭露头角&#xff0c;得益于它多功能性和简单易上手的特性&#xff0c;让它可以在很多不同的工作中发挥重大作用。 正因如此&#xff0c;目前几乎所有大中型互联网企业都在使用 Python 完成各种各样的工作&#xff0…

广义状态平均无线电能传输系统建模

关于WPT系统建模的一些笔记&#xff0c;在 CSDN 学到很多&#xff0c;现分享给大家&#xff0c;之前有看到过一篇博文&#xff0c; 内容语焉不详&#xff0c;对读者也很不客气&#xff0c;希望这篇博文对大家有用&#xff01; Hierarchical multiobjective H-infinity robust …