优步被黑，吹嘘黑客——如何阻止它发生在你身上

由柏拉图重新发布

关注： 0

by
保罗哈普林

众所周知，可悲的是，其中有很多人是黑客——在 非法闯入你的网络 感觉，不是在一个 以时髦的方式解决超级硬编码问题 感觉——已经闯入拼车公司优步。

根据一个报告来自 BBC 的报道称，这名黑客只有 18 岁，并且似乎出于与著名的英国登山者驾驶相同的原因而完成了这次攻击乔治·马洛里在 1920 年代继续尝试（并最终死于尝试）登顶珠穆朗玛峰……

...“因为它在那里。”

优步，可以理解的是，到目前为止 [2022-09-16T15:45Z] 并没有说太多宣布在Twitter上：

我们目前正在应对网络安全事件。我们与执法部门保持联系，并会在可用时在此处发布更多更新。

- 优步通讯（@Uber_Comms） 2022 年 9 月 16 日

到目前为止，我们知道多少？

如果入侵的规模像被指控的黑客所暗示的那样广泛，根据我们在 Twitter 上看到的截图，我们对优步尚未提供任何具体信息并不感到惊讶，特别是考虑到执法部门正在参与调查。

在网络事件取证方面，魔鬼真的是在细节中。

尽管如此，据称由黑客本人发布并广泛分发的公开数据似乎表明这次黑客攻击有两个根本原因，我们将用中世纪的类比来描述。

入侵者：

诱骗知情人让他们进入庭院，或贝利. 那是最外层城墙内的区域，但与防御最好的部分分开。
发现无人看管的详细信息，说明如何访问要塞，或莫特. 顾名思义，就是这样保持是一座传统的中世纪欧洲城堡的中央防御要塞。

最初的突破

吹嘘自己进入 21 世纪城堡庭院的行话是 社会工程学.

众所周知，有很多方法有时间、耐心和口才的攻击者甚至可以说服消息灵通和善意的用户帮助他们绕过本应阻止他们进入的安全流程。

自动化或半自动化的社会工程技巧包括电子邮件和基于 IM 的网络钓鱼诈骗。

这些骗局诱使用户在假冒网站上输入他们的登录详细信息，通常包括他们的 2FA 代码，这些假冒网站看起来像是真实交易，但实际上向攻击者提供了所需的访问代码。

对于已经登录并因此对其当前会话进行临时身份验证的用户，攻击者可能会尝试获取所谓的 cookie 或访问令牌在用户的计算机上。

例如，通过植入劫持现有会话的恶意软件，攻击者可能能够伪装成合法用户足够长的时间来完全接管，而无需用户自己从头登录所需的任何常用凭据：

如果所有其他方法都失败了——或者甚至可能不尝试上述机械方法——攻击者可以简单地打电话给用户并魅惑他们，或者哄骗、乞讨、贿赂、哄骗，或者威胁他们，具体取决于如何对话展开。

熟练的社会工程师通常能够说服善意的用户不仅首先打开门，而且还可以将门保持打开，以便攻击者更容易进入，甚至可能携带攻击者的包和告诉他们下一步要去哪里。

这就是臭名昭著的 2020 年 Twitter 黑客攻击的实施方式，其中包括比尔·盖茨、埃隆·马斯克和苹果公司的 45 个蓝旗 Twitter 账户被接管并用于宣传加密货币骗局。

这种黑客行为与其说是技术，不如说是文化，是通过支持人员进行的，他们非常努力地做正确的事情，最终却做了相反的事情：

全面妥协

相当于从庭院进入城堡的行话术语是 特权提升.

通常，攻击者会故意在内部寻找和使用已知的安全漏洞，即使他们无法找到从外部利用这些漏洞的方法，因为防御者已经不厌其烦地在网络外围保护它们。

例如，在我们最近发布的一项关于入侵的调查中， Sophos 快速响应团队在 2021 年进行了调查，我们发现只有 15% 的初始入侵（攻击者越过外墙进入贝利）中，犯罪分子能够使用 RDP 闯入。

（RDP 的缩写 远程桌面协议, 它是一个广泛使用的 Windows 组件，旨在让用户 X 在计算机 Y 上远程工作，其中 Y 通常是没有自己的屏幕和键盘的服务器，并且可能确实位于服务器机房的地下三层，或遍布全球的云数据中心。）

但在 80% 的攻击中，犯罪分子一旦进入内部就使用 RDP 在整个网络中几乎随意游荡：

同样令人担忧的是，当不涉及勒索软件时（因为勒索软件攻击会立即表明您已被入侵！），犯罪分子的平均平均时间漫游网络不被注意是 34 天 - 超过一个日历月：

优步事件

我们还不确定最初的社会工程（在黑客术语中简称为 SE）是如何进行的，但威胁研究员 Bill Demirkapi 已经发推特截图这似乎揭示了（编辑了精确的细节）特权提升是如何实现的。

显然，即使黑客一开始是普通用户，因此只能访问网络的某些部分……

......对网络上未受保护的共享进行了一些徘徊和窥探，发现了一个开放的网络目录，其中包括一堆 PowerShell 脚本......

…其中包括硬编码的安全凭证，用于管理员访问在行话中称为 PAM 的产品，简称 PAM 特权访问管理器.

顾名思义，PAM 是一个系统，用于管理组织使用的所有（或至少很多）其他产品和服务的凭证和控制对这些产品和服务的访问。

讽刺的是，攻击者可能一开始可能是一个不起眼的用户帐户，而且可能是非常有限的用户帐户，他偶然发现了一个 ueber-ueber-password，该密码解锁了 Uber 全球 IT 运营的许多 ueber-password。

我们不确定黑客在打开 PAM 数据库后能够漫游的范围有多大，但来自众多来源的 Twitter 帖子表明，攻击者能够渗透到 Uber 的大部分 IT 基础设施。

据称，黑客倾销数据以表明他们至少访问了以下业务系统：Slack 工作区； Uber 的威胁防护软件（通常仍被随便称为 防病毒); AWS 控制台；公司差旅和费用信息（包括员工姓名）； vSphere 虚拟服务器控制台； Google Workspaces 列表；甚至 Uber 自己的漏洞赏金服务。

（显然，具有讽刺意味的是，漏洞赏金服务是黑客用大写字母大声吹嘘的地方，如标题所示， 优步被黑.)

怎么办呢？

在这种情况下，很容易将矛头指向优步，并暗示这种违规行为应该被认为比大多数情况更糟糕，仅仅是因为这一切都非常响亮且非常公开。

但不幸的事实是，许多（如果不是大多数）当代网络攻击都涉及攻击者获得这种程度的访问权限......

……或者至少可能拥有这种级别的访问权限，即使他们最终没有四处寻找他们可能拥有的任何地方。

毕竟，如今的许多勒索软件攻击并不代表入侵的开始，而是代表可能持续数天或数周甚至数月的入侵的结束，在此期间，攻击者可能设法宣传自己拥有与最高级的系统管理员同等地位在他们违反的公司里。

这就是为什么勒索软件攻击通常如此具有破坏性的原因——因为当攻击发生时，犯罪分子几乎没有笔记本电脑、服务器或服务无法访问，因此他们几乎可以扰乱一切。

换句话说，在这种情况下，Uber 似乎发生的事情并不是一个新的或独特的数据泄露故事。

因此，这里有一些发人深省的技巧，您可以将其作为提高您自己网络整体安全性的起点：

密码管理器和 2FA 不是灵丹妙药。 使用精心挑选的密码可以防止骗子猜测进入，而基于一次性代码或硬件访问令牌（通常是用户需要随身携带的小型 USB 或 NFC 加密狗）的 2FA 安全性使事情变得更难，通常更难，因为攻击者。但是反对今天的所谓 人为攻击，在“主动对手”亲自直接参与入侵的情况下，您需要帮助您的用户改变他们的一般在线行为，这样他们就不太可能被说服回避程序，无论这些程序可能多么全面和复杂。
安全性属于网络中的任何地方，而不仅仅是边缘。 如今，很多用户至少需要访问您网络的某些部分——员工、承包商、临时员工、保安人员、供应商、合作伙伴、清洁工、客户等等。如果安全设置值得在您的网络外围加强，那么它几乎肯定也需要在“内部”加强。这尤其适用于修补。正如我们喜欢在 Naked Security 上说的， “早打补丁，经常打补丁，到处打补丁。”
定期测量和测试您的网络安全。 永远不要假设你认为你采取的预防措施真的有效。不要假设；总是验证。此外，请记住，由于新的网络攻击工具、技术和程序一直在出现，您的预防措施需要定期审查。简单来说， “网络安全是一段旅程，而不是目的地。”
考虑获得专家帮助。 报名参加托管检测和响应（MDR）服务不是承认失败，也不是你自己不了解网络安全的标志。 MDR 并不是免除您的责任——它只是一种在您真正需要专职专家时随时待命的方式。 MDR 还意味着在发生攻击时，您自己的员工不必放弃他们当前正在做的所有事情（包括对您的业务连续性至关重要的常规任务），因此可能会留下其他安全漏洞。
采用零信任方法。 零信任并不意味着您从不信任任何人做任何事情。这是“不做任何假设”和“永远不要授权任何人做超过他们严格需要的事情”的隐喻。零信任网络访问 (ZTNA) 产品的工作方式与 VPN 等传统网络安全工具不同。 VPN 通常为外面的人提供一种安全的方式来获得网络的普遍准入，之后他们通常会享受比他们真正需要的更多的自由，允许他们漫游、窥探和四处寻找城堡其他地方的钥匙。零信任访问采用更精细的方法，因此，如果您真正需要做的只是浏览最新的内部价目表，这就是您将获得的访问权限。您也无权进入支持论坛、搜索销售记录或探查源代码数据库。
如果您还没有，请为员工设置网络安全热线。 让任何人都可以轻松报告网络安全问题。无论是可疑的电话、不太可能的电子邮件附件，甚至只是一个可能不应该在网络上出现的文件，都有一个单一的联系点（例如 securityreport@yourbiz.example)，这使您的同事可以快速轻松地调用它。
永远不要放弃人。 仅靠技术无法解决您所有的网络安全问题。如果你尊重你的员工，如果你采取网络安全态度， “没有愚蠢的问题，只有愚蠢的答案”，然后您可以将组织中的每个人都变成您的安全团队的耳目。