[[428582]]

盡管棱鏡門事件已經(jīng)過去了近8年，但數(shù)據(jù)守衛(wèi)的戰(zhàn)爭從未停止，服務(wù)器數(shù)據(jù)竊取及其罪魁禍?zhǔn)?ldquo;后門程序”仍在肆虐。

關(guān)于棱鏡門

棱鏡計劃（PRISM）是由美國國家安全局自2007年起開始實施的絕密電子監(jiān)聽計劃，2013年6月被前中情局（CIA）職員愛德華·斯諾登向多家媒體曝光，涉及多個國家、多個領(lǐng)域的機(jī)密數(shù)據(jù)竊聽。

在棱鏡門事件中，跟大眾最息息相關(guān)的是斯諾登向美國《華盛頓郵報》披露的服務(wù)器數(shù)據(jù)竊聽事件，根據(jù)斯諾登提交的資料，2007年-2013年6年間，美國國家安全局和聯(lián)邦調(diào)查局通過進(jìn)入多家網(wǎng)絡(luò)巨頭的服務(wù)器，監(jiān)控公民的秘密資料，影響人數(shù)過億。

盡管涉事方都矢口否認(rèn)，但棱鏡門事件在全球范圍引起巨大影響，對服務(wù)器數(shù)據(jù)安全的保護(hù)也從企業(yè)和個人層面，提升到國家級戰(zhàn)略高度。

隔離環(huán)境≠絕對安全   棱鏡門就在身邊

曾有很多IT管理員認(rèn)為，只要是物理隔離環(huán)境，即使服務(wù)器被感染后門程序，數(shù)據(jù)無法外發(fā)也形成不了威脅。但隨著黑客攻擊手段的進(jìn)步，物理隔離環(huán)境也不再安全：

2021年10月?lián)踩襟w「安全牛」報道，以色列內(nèi)蓋夫本古里安大學(xué)網(wǎng)絡(luò)安全研究中心驗證了一種新的數(shù)據(jù)泄露機(jī)制，稱為LANTENNA Attack，該機(jī)制利用以太網(wǎng)電纜作為“傳輸天線”，從物理隔離系統(tǒng)中竊取敏感數(shù)據(jù)。該研究中心負(fù)責(zé)人Mordechai Guri博士進(jìn)一步解釋說，LANTENNA是一種新型電磁攻擊，其工作原理是通過物理隔離計算機(jī)中的后門程序收集敏感數(shù)據(jù)，然后通過以太網(wǎng)電纜發(fā)出的無線電波編碼，附近的軟件定義無線電（SDR）接收器以無線方式攔截信號，解碼數(shù)據(jù)，并將其發(fā)送給相鄰房間的攻擊者。

除了電磁攻擊外，聲音、熱感、光學(xué)和震動等多種邊信道攻擊方法，以及給供應(yīng)鏈提供的設(shè)備維護(hù)通道，都可以導(dǎo)致隔離環(huán)境的數(shù)據(jù)泄漏，因此隔離環(huán)境早已不再絕對安全。

數(shù)據(jù)泄漏攻擊鏈

黑客一般利用漏洞上傳后門程序，除此之外，在補丁或者其他安裝程序中夾帶后門也成為常見的后門傳播途徑。成功入侵服務(wù)器后，二進(jìn)制類后門（MSF、CobaltStrike、Mimikatz、Metasploit等）會執(zhí)行并收集數(shù)據(jù)，再通過外帶傳輸、隱秘隧道等方式外傳數(shù)據(jù)，近期備受攻擊者追捧的內(nèi)存馬webshell，執(zhí)行方式更為隱蔽，其攻擊原理在內(nèi)存中寫入惡意后門和木馬并執(zhí)行，因為其利用中間件的進(jìn)程執(zhí)行某些惡意代碼，不會有文件落地，屬于無文件攻擊的一種，反病毒引擎很難發(fā)現(xiàn)，給檢測帶來巨大難度。

后門雖然隱蔽性強、難以發(fā)現(xiàn)，但是做好防上傳、防執(zhí)行、早發(fā)現(xiàn)、防外連4項工作，就能有效防御后門利用，杜絕棱鏡門發(fā)生：

①防上傳：切斷后門上傳途徑

后門上傳的大部分途徑是web流量，但攻擊者一般會利用加密webshell等方式做流量混淆，因此一般的waf類設(shè)備比較容易被繞過，目前比較有效的方式是基于RASP技術(shù)保護(hù)WEB中間件，RASP插件一般作用于ASP、PHP、Java等腳本語言解釋器內(nèi)部，通過HOOK函數(shù)的方式，通過跟蹤Web請求上下文識別可疑行為，針對性進(jìn)行響應(yīng)處置，能有效阻止利用漏洞上傳或創(chuàng)建后門程序。

②防執(zhí)行：免疫二進(jìn)制后門

基于奇安信椒圖云鎖服務(wù)器安全管理系統(tǒng)(簡稱:云鎖)的【應(yīng)用白名單功能】，可以自動學(xué)習(xí)已啟動應(yīng)用清單，并綜合威脅情報、病毒告警等信息，可快速識別出可信應(yīng)用白名單。啟用白名單防護(hù)策略后，后門程序、勒索病毒、挖礦病毒以及其他未知應(yīng)用程序等非白名單應(yīng)用將無法運行，從而實現(xiàn)對二進(jìn)制后門免疫。

③早發(fā)現(xiàn)：及時體檢

在很多業(yè)務(wù)系統(tǒng)中存在后門程序已久，如果沒有阻止入侵，就應(yīng)該早發(fā)現(xiàn)早治療，奇安信椒圖服務(wù)器安全管理系統(tǒng)基于特征+行為雙重檢測引擎，可以精準(zhǔn)發(fā)現(xiàn)后門程序，并還原后門攻擊途徑。

④防外連：將危害降到最低

在后門防治中，切斷外連途徑是關(guān)鍵，一方面防止數(shù)據(jù)外泄，另一方面阻止失陷服務(wù)器橫向擴(kuò)散，污染更多服務(wù)器資產(chǎn)。

除了后門外，部分原本可信的白應(yīng)用也可能存在非法外連、傳輸數(shù)據(jù)的行為，基于奇安信椒圖云鎖服務(wù)器安全管理系統(tǒng)可以自動化識別進(jìn)程外連詳情，包括目標(biāo)ip、ip歸屬、域名、端口，并可以一鍵切斷，有效阻止非法外連，將失陷服務(wù)器的危害降到最低。

數(shù)據(jù)安全無小事，《中華人民共和國數(shù)據(jù)安全法》也于2021年9月1日起正式施行，無論是國家政策層面，還是實際業(yè)務(wù)層面，我們都應(yīng)該在服務(wù)器端做好的數(shù)據(jù)安全工作，其中關(guān)鍵工作之一是要做好后門防治工作，杜絕服務(wù)器棱鏡門再次發(fā)生。 

作者：李棟 奇安信云與服務(wù)器安全BG椒圖事業(yè)部副總經(jīng)理，服務(wù)器安全資深專家