Aggregator

近期因新型冠狀病毒（COVID-19, 武漢肺炎）影響，不少企業開放同仁遠距工作 (Telework)、在家上班 (Work from home, WFH)。在疫情加速時，如果沒有準備周全就貿然全面開放，恐怕會遭遇尚未考慮到的資安議題。這篇文章提供一個簡單的指引，到底遠端在家上班有哪些注意事項？我們會從公司管理、使用者兩個面向來討論。

如果你只想看重點，請跳到最後一段 TL;DR。

攻擊手段

我們先來聊聊攻擊的手段。試想以下幾個攻擊情境，這些情境都曾被我們利用在紅隊演練的過程中，同樣也可能是企業的盲點。

情境一、VPN 撞庫攻擊：同仁 A 使用 VPN 連線企業內部網路，但 VPN 帳號使用的是自己慣用的帳號密碼，並且將這組帳號密碼重複使用在外其他非公司的服務上（如 Facebook、Adobe），而這組密碼在幾次外洩事件中早已外洩。攻擊團隊透過鎖定同仁 A，使用這組密碼登入企業內部。而很遺憾的 VPN 在企業內部網路並沒有嚴謹的隔離，因此在內部網路的直接找到內網員工 Portal，取得各種機敏資料。
情境二、VPN 漏洞：VPN 漏洞已經成為攻擊者的主要攻略目標，公司 B 使用的 VPN 伺服器含有漏洞，攻擊團隊透過漏洞取得 VPN 伺服器的控制權後，從管理後台配置客戶端 logon script，在同仁登入時執行惡意程式，獲得其電腦控制權，並取得公司機密文件。可以參考之前 Orange & Meh 的研究： https://www.youtube.com/watch?v=v7JUMb70ON4
情境三、中間人攻擊：同仁 C 在家透過 PPTP VPN 工作。不幸的是 C 小孩的電腦中安裝了含有惡意程式的盜版軟體。攻擊者透該電腦腦進行內網中間人攻擊 (MITM)，劫持 C 的流量並破解取得 VPN 帳號密碼，成功進入企業內網。

以上只是幾個比較常見的情境，攻擊團隊的面向非常廣，而企業的防禦卻不容易做到滴水不漏。這也是為什麼我們要撰寫這篇文章，希望能幫助一些企業在遠距工作的時期也能達到基本的安全。

風險有什麼

風險指的是發生某個事件對於該主體可能造成的危害。透過前面介紹的攻擊手段要達成危害，對攻擊者來說並不困難，接著我們盤點出一些在企業的資安規範下，因應遠距工作可能大幅增加攻擊者達成機率的因子：

環境複雜：公司無法管控家中、遠距的工作環境，這些環境也比較複雜危險。一些公司內部的管理監控機制都難以施展，也較難要求同仁在家中私人設備安裝監控機制。
公司資料外洩或不當使用：若公司的資料遭到外洩或不當使用，將會有嚴重的損失。
設備遺失、遭竊：不管是筆電或者是手機等裝置，遺失或者遭竊時，都會有資料外洩的風險。
授權或存取控制不易實作：在短時間內提供大量員工的外部存取，勢必會在「可用性」和「安全性」間做出取捨。

若公司允許同仁使用私人的設備連上公司內部 VPN，這樣的議題就等同 BYOD (Bring Your Own Device)，這些安全性的顧慮有不少文章可以參考。例如 NIST SP800-46 Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf

公司面向

接下來我們來看看公司方面在遠距工作上面有哪些資安上面的作為。

工作流程及原則規劃

工作流程調整：遠距工作時，每個流程該如何作對應的調整，例如如何在不同地點協同作業、彙整工作資料、確認工作成果及品質等。
資料盤點：哪些資料放在雲端、伺服器、個人電腦，當遠距工作時哪些資料將無法被取用，或該將資料轉移到哪邊。
會議流程：會議時視訊設備、軟體選擇及測試，並注意會議軟體通訊是否有加密。狀況如會議時間延長、同時發言、遠距品質影響等。
事件處理團隊及流程：因遠距工作時發生的資安事件，該由誰負責處理、如何處理、盤點損失。
僅知、最小權限原則：僅知原則 (Need-to-know Basis) 以及最小權限原則 (Principle of Least Privilege, PoLP)，僅給予每個同仁最小限度需要的資料以及權限，避免額外的安全問題。

網路管理

VPN 帳號申請及盤點：哪些同仁需要使用 VPN，屬於哪些群組，每個群組的權限及連線範圍皆不同。
VPN 帳號權限範圍及內網分區：VPN 連線進來後，不應存取整個公司內網所有主機，因為 VPN 視同外部連線，風險等級應該更高，更應該做連線的分區管控。
監控確認 VPN 流量及行為：透過內部網路的網路流量監控機制，確認 VPN 使用有無異常行為。
只允許白名單設備取得 IP 位址：已申請的設備才能取得內網 IP 位址，避免可疑設備出現在內部網路。
開啟帳號多因子認證：將雲端服務、VPN、內部網路服務開啟多因子認證。
確認 VPN 伺服器是否為新版：在我們過去的研究發現 VPN 伺服器也會是攻擊的對象，因此密切注意是否有更新或者修補程式。
- Palo Alto GlobalProtect 資安通報 https://devco.re/blog/2019/07/17/Palo-Alto-GlobalProtect-advisory/
- FortiGate SSL VPN 資安通報 https://devco.re/blog/2019/08/09/Fortigate-SSL-VPN-advisory/
- Pulse Secure SSL VPN 資安通報 https://devco.re/blog/2019/08/28/Pulse-Secure-SSL-VPN-advisory/

其中值得特別點出的是 VPN 的設定與開放。近期聽聞到不少公司的管理階層談論到，因應疫情原本不開放 VPN 權限的同仁現在全開放了。而問到 VPN 連線進公司內部網路之後的監控跟阻隔為何，卻較少有企業具備這樣的規劃。內部網路是企業的一大資安戰場，開放 VPN 的同時，必定要思考資安對應的措施。

使用者面向

公司準備好了，接下來就是使用者的安全性了。除了公司提供的 VPN 線路、架構、機制之外，使用者本身的資安意識、規範、安全性設定也一樣重要。

保密

專機專用：用來存取公司網路或資料的電腦，應嚴格遵守此原則，禁止將該設備作為非公務用途。也應避免非公司人士使用或操作該裝置。

設備相關

開啟裝置協尋、鎖定、清除功能：設備若可攜帶移動，設備的遺失對應方案就必須要考慮完整。例如如何尋找裝置、如何鎖定裝置、如何遠端清除已遺失的裝置避免資料外洩。現在主流作業系統多半都會提供這些機制。
設備登入密碼：裝置登入時必須設定密碼，避免外人直接操作。
設備全機加密：設備若遺失遭到分析，全機加密可以降低資料被破解遺失的風險。
（選擇性）MDM (Mobile Device Management)：若公司有導入 MDM，可以協助以上的管理。

帳號密碼安全

使用密碼管理工具並設定「強密碼」：可以考慮使用密碼管理工具並將密碼設為全隨機產生包含英文、數字、符號的密碼串。
不同系統帳號使用不同密碼：這個在很多次演講中都有提到，建議每個系統皆使用不同密碼，防止撞庫攻擊。
帳號開啟 2FA / MFA：若系統具備 2FA / MFA 機制，務必開啟，為帳號多一層保護。

網路使用

避免使用公用 Wi-Fi 連接公司網路：公眾公用網路是相當危險的，恐被側錄或竄改。若必要時可使用手機熱點或透過 VPN 連接網際網路。
禁止使用公用電腦登入公司系統：外面的公用電腦難確保沒有後門、Keylogger 之類的惡意程式，一定要禁止使用公用電腦來登入任何系統。
確認連線裝置是否可取得內網 IP 位址：確認內網 IP 位址是否無誤，是否能夠正常存取公司內部系統。
確認連線的對外 IP 位址：確認連線至網際網路的 IP 位址是否為預期，尤其是資安服務公司，對客戶連線的 IP 位址若有錯誤，可能釀成非常嚴重的損害。
（選擇性）安裝個人電腦防火牆：個人防火牆可以基本監控有無可疑程式想對外連線。
（選擇性）採用 E2EE 通訊工具：目前企業都會使用雲端通訊軟體，通訊軟體建議採用有 E2EE (End-to-End Encryption)，如此可以確保公司內的機敏通訊內容只有內部人員才能解密，就連平台商也無法存取。
（選擇性）工作時關閉不必要的連線（如藍牙等）：部分資安專家表示，建議在工作時將電腦的非必要連線管道全數關閉，如藍牙等，在外部公眾環境或許有心人士可以透過藍牙 exploit 攻擊個人裝置。

資料管理

只留存在公司設備：公司的機敏資料、文件等，必須只留存在公司設備中，避免資料外洩以及管理問題。
稽核記錄：記錄機敏資料的存放、修改、擁有人等資訊。
重要文件加密：重要的文件必須加密，且密碼不得存放在同一目錄。
信件附件加密，密碼透過另一管道傳遞：郵件的附件除了要加密之外，密碼必須使用另一管道傳遞。例如當面告知、事前約定、透過 E2EE 加密通道、或者是透過非網路方式給予。
備份資料：機敏資料一定要備份，可以遵循「3-2-1 Backup Strategy」：三份備份、兩種媒體、一個放置異地。

實體安全

離開電腦時立刻鎖定螢幕：離開電腦的習慣是馬上進入螢幕保護程式並且鎖定，不少朋友是放著讓他等他自己進入鎖定，但這個時間差有心人士已經可以完成攻擊。
禁止插入來路不明的隨身碟或裝置：社交工程的手法之一，就是讓同仁插入惡意的 USB，甚至有可能摧毀電腦（Bad USB, USB Killer）。
注意外人偷窺螢幕或碰觸設備：若常在外工作處於公共空間，可以考慮採購螢幕防窺片。
不放置電腦設備在車上：雖然台灣治安不錯，但也是不少筆電在車上遭竊，重要資產記得隨身攜帶，或者放置在隱密處。
將工作區域關門或鎖上：若在自己的工作區域，為了爭取更多時間應變突發狀況，建議將工作區域的門關閉或者上鎖。

TL;DR 防疫同時也別忽視資訊安全！

網路的攻防就是一場戰爭，如果不從攻擊者的面向去思考防禦策略，不但無法有效的減緩攻擊，更可能在全世界疫情逐漸失控的當下，讓惡意人士透過這樣的時機攻擊遠距工作的企業。期望我們的經驗分享能夠給企業一些基本的指引，也希望天災人禍能夠儘速消彌。台灣加油！

開放 VPN 服務前，注意帳號管理以及內網切割隔離，避免透過 VPN 存取內網任意主機。
雲端、網路服務務必使用獨一無二長密碼，並開啟 MFA / 2FA 多因子認證。
使用雲端服務時務必盤點存取權限，避免文件連結可被任意人存取。
注意設備遺失、竊取、社交工程等實體安全議題。
網路是危險的，請使用可信賴的網路，並在通訊、傳輸時採用加密方式進行。

CTFHub-Web技能树 - Vicen

Vicen

6 years ago

SQL注入绕过select 1';Set @xx=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;Prepare abc from @xx;execute abc;#(select * from `1919810

Vicen

伪造windows登录屏幕窃取密码之FakeLogonScreen

BaCde's Blog

6 years ago

在windows环境中，获取系统密码，提升系统权限。在渗透测试是经常遇到的。今天这里介绍一款伪造windows登录屏幕以达到窃取密码或题全的软件——FakeLogonScreen。

简介

FakeLogonScreen这个程序是用于伪造windows登录凭证以获取系统登录密码。它会获取当前系统配置的背景图片，这样显得更加真实，成功率也会更高。

另外，该程序会对输入的密码进行Active Directory或本地计算机的认证，以确保窃取密码的准确性。它可以显示在控制台，也可以保存早文件远程系统的硬盘上。

这个软件的好处就是可以与其它工具配合使用，可以直接通过内存执行（无文件）。比如可以配合Cobalt Strike的execute-assembly来执行。

运行环境

由于使用c#编写，需要系统中有.net framework框架。这里测试windows10和windows7，系统均为64位。在其release的版本中，作者给出来.net framework3.5和4.5的可执行程序。适用于windows7 和windows10等情况。实际中可根据实际情况进行选择。

利用

可以配合Cobalt Strike，系统上线后，进入到beacon中，然后直接执行execute-assembly /root/Desktop/FakeLogonScreen.exe 。（后面为控制机上的文件路径，非被控机的路径）。接下来就是等待对方输入密码，即可在进入的beacon中显示输入的密码了。效果图如下：

Is Your Organization Ready for COVID-19?

F5 Labs

6 years ago

Expect COVID-19 (Coronavirus) to touch your organization soon, if it hasn’t already. You need to be ready for shortages, slowdowns, absent personnel, and a high percentage of concurrent remote access workers.

Aggregator

Managed ad