针对老旧网络设备的三种APT攻击手段

网络安全公司思科 Talos 的研究人员近日警告称，网络犯罪分子正将目光瞄准那些缺乏安全设计的老旧网络设备。

Talos 安全研究部门的外联负责人 Nick Biasini 表示，如今针对老旧网络设备的“失陷后威胁” (post-compromise threats) 正呈增长态势，这些威胁主要目标是早已过时停产的网络基础设施和边缘设备。由于此类设备通常存在未修复的严重漏洞，因此极易受到攻击。

Biasini 指出，过去许多企业对于边缘设备采取的是一种放任自流的态度，只要设备能正常运行就不会去干涉。但现在这种做法已经变成了巨大的安全隐患，企业必须加以重视。“这些老旧设备存在大量潜在漏洞，为攻击者提供了可乘之机，而相比之下，最近安装的拥有最新固件的边缘设备则攻击面更小。” Biasini 说道。

思科全球网络安全产品营销经理 Hazel Burton 则表示，当老旧设备在设计之初就没有将安全性纳入考量，并且网络基础设施又游离于安全体系之外时，监控网络访问尝试的难度就会大大增加。网络攻击者 (特别是 APT 组织) 正是利用了这一点，一旦他们初步攻入网络，就会开展一系列隐蔽的“事后威胁”活动。Burton 在博客中概述了一些攻击场景，“攻击者的目标是扩大在网络中的立足点，掩盖其活动，并窃取数据和情报，以实现间谍活动或破坏目标。”

Biasini 表示，针对网络基础设施的网络犯罪分子主要分为两类：

• 国家支持的攻击者。国家支持的攻击者对老旧设备的主要兴趣在于建立长期窃取情报的立足点。
• 犯罪团伙。犯罪团伙通常会通过老旧的边缘设备作为初始落脚点，然后迅速转入网络内部实施勒索攻击。因为就勒索软件和勒索团伙而言，控制一个边缘设备并不能获得多大好处，但如果他们能利用该设备侵入网络并发起大规模勒索攻击，那收益就将非常可观。

思科 Talos 总结了网络基础设施面临的三种最常见的“失陷后威胁”：

1.修改固件。“Talos 曾观察到 APT 组织会修改老旧网络设备的固件，以便在网络中站稳脚跟。例如，他们可能会添加植入物或修改设备捕获信息的方式。” Burton 写道。“最近利用思科 IOS XE 软件 Web 管理用户界面的漏洞就是一个例子。 其中一种攻击手法是部署名为 ‘BadCandy’ 的植入物，该植入物包含一个配置文件（‘cisco_service.conf’）。配置文件定义了与植入物交互的新 Web 服务器端点 (URI 路径)。该端点会接收某些参数，允许攻击者在系统或 IOS 层执行任意命令。”
Burton 提到，对固件进行配置对比可以帮助发现攻击者篡改的痕迹。

2.上传定制/武器化固件。“如果攻击者无法修改现有固件，或者他们需要额外的访问权限，他们就可能会上传定制的或已知存在可用漏洞的老旧固件 (实际上是降级到较旧的固件版本)。 ” Burton 写道，“一旦武器化固件上传成功，他们就会重新启动设备，然后利用未修补的漏洞。这将为攻击者提供一个可进一步修改以窃取数据的设备。”
“如果您的日志显示有人禁用了日志记录功能，这表明网络可能已经被渗透并遭到破坏。”

3.绕过或删除安全进程。“Talos 还观察到攻击者会采取措施移除任何阻碍他们实现目标的（安全措施）。例如，如果他们想要窃取数据，但是访问控制列表 (ACL) 阻止了他们访问主机，他们可能会修改或删除 ACL。他们还可能会安装知道不针对某些攻击者 IP 地址应用 ACL 的操作系统软件，无论配置如何。” Burton 写道。
“BadCandy” 活动就是一个很好的例子，展示了攻击者如何解除安全措施。“攻击者能够在受损系统内创建微型服务器（虚拟计算机），作为他们的行动基地。这使得攻击者能够拦截和重定向流量，以及添加和禁用用户账户。这意味着即使组织重新启动设备并擦除活动内存，攻击者仍然拥有持久的账户 – 实际上就相当于一个后门。” Burton 写道。

思科 Talos 的建议：

• 软件开发实践与NIST 安全软件开发框架(SSDF) 保持一致。

• 提供有关产品“生命周期终止”的清晰简明的详细信息，包括具体日期范围以及每个产品预期支持级别的详细信息。

• 为客户提供单独的关键安全修复程序，不要将这些补丁程序与新产品特性或功能更改捆绑在一起。

• 加强对超出技术支持期的旧产品的网络安全调查（漏洞扫描、配置管理）。

• 定期确保产品配置符合供应商的建议，随着产品老化，频率会不断增加，并确保及时实施更新和补丁。

Talos 补充道，企业还应该部署复杂的密码和社区字符串，使用 SNMPv3 或后续版本，尽可能部署多因素认证，并在配置和监控设备时启用加密。