0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。大多数情况下,针对0day漏洞的攻击很少立即被发现。发现这些缺陷通常可能需要几天或几个月的时间,才使得这类漏洞非常危险。
“事件速览”
自2020年12月以来,FireEye旗下网络安全公司Mandiant发现网络安全公司多次Accellion遭到黑客攻击,现已确认实施攻击的黑客组织是FIN11。他们利用多个0day漏洞与Web Shell结合,通过Accellion的文件传输设备FTA入侵了上百个Accellion的企业客户,并窃取敏感文件。
“攻击简介”
据悉,攻击时黑客利用4个安全缺陷攻击 FTA 服务器,并安装了一个名为“DEWMODE”的 web shell,之后用于下载存储在受害者 FTA 设备上的文件。FTA服务器已有20年历史,目前约有300家Accellion客户仍在使用。在这些客户中,有近100家企业是本次攻击的受害者,其中大约有25家遭受了严重的数据盗窃。FireEye公司表示,此次攻击未部署Clop文件加密恶意软件,也就没有加密数据。攻击者直接选择以泄漏数据作为主要勒索威胁。窃取数据后,除非支付勒索赎金,否则攻击者会在Clop泄漏站点上公开被盗数据。
“措施建议”
此次Accellion FTA 服务器被攻击,主要是黑客利用0day漏洞和web shell结合,将web shell后门文件与服务器WEB目录下正常的网页文件混在—起,然后使用浏览器来访问这些后门,得到命令执行环境,以达到控制系统服务器的目的。由于与被黑客控制的系统服务器交换的数据都是通过80端口传递的,因此Wbshell不会被防火墙拦截。同时,使用Wbshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,很难发现入侵痕迹。
针对这种攻击方法,中科天齐建议企业可以通过以下方式来防范入侵:
1、定期更新服务器补丁,定期更新杀毒软件。
2、对系统盘的敏感目录及文件进行权限设置,提高系统安全性。
3、对不同服务器和目录进行权限设置,利用不同用户之间的权限隔离进行一定防范。
4、对ftp进行权限设置,并防止路径穿透等安全漏洞,并取消匿名访问。
5、攻击者经常利于域之间的信任关系进行攻击,所以相关服务器中部署的软件建议通过静态代码检测工具和漏扫工具进行检测,尽早发现漏洞并进行修复。
6、对于确认存在0day漏洞的服务器,在漏洞没有升级补丁发布之前,有必要采取必要的防范措施。
中科天齐具有专利技术的代码安全解决方案,能够帮助企业管理者减少信息化风险,真正实现内生安全。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:0day漏洞 软件安全 代码检测 漏洞修复 网络安全
