思科 2022 黑客攻擊分析

2022 年 5 月 24 日，思科的安全團隊告知其存在違規行為。 攻擊者設法獲得了訪問權限，提升了他們的權限，安裝了遠程訪問和黑客軟件，並採取了措施來維持對系統的訪問。 他們設法一次完成所有這一切。 正如我們將看到的，這應該很容易預防。

雖然在回顧事情時我們都更聰明，但事實是，發生在思科身上的事情可能發生在任何管理 WordPress 環境的人身上。

本文將探討黑客成功入侵的步驟，以及每個 WordPress 網站所有者和管理員如何防止在他們的 WordPress 網站上重蹈覆轍。

誰破壞了思科？

關於思科違規背後的一個或多個人知之甚少。 調查表明，IAB（初始訪問代理）實施了攻擊。 顧名思義，IAB 會闖入系統但不進行攻擊。 一旦違規成功，他們就會安裝軟件來維護該訪問權限。 然後將訪問權出售或提供給將使用該訪問權進行實際攻擊的其他人。 有證據表明與三個惡意行為者有關——UNC2447、Lapsus$ 和 Yanluowang。

他們如何破壞思科

第 1 步：瀏覽器密碼

攻擊者首先獲得了對員工個人 Google 帳戶的訪問權限。 通過使用被盜憑據登錄 Chrome 瀏覽器，攻擊者可以訪問員工的密碼，因為這些密碼已保存在瀏覽器中並配置為同步。

分析

自 Netscape 和 Internet Explorer 的舊時代以來，瀏覽器已經走過了漫長的道路（這兩種瀏覽器都已被載入計算機歷史的史冊）。 它們比以前更健壯，提供更豐富的功能集，並且更安全。

瀏覽器密碼就是這樣一種改進——允許用戶直接在瀏覽器中保存他們的用戶名和密碼。 雖然這非常方便，但瀏覽器並沒有強制執行密碼管理器所做的那種安全最佳實踐，這使得它們容易受到黑客攻擊。

密碼管理器要求用戶使用一個必須適當複雜的主密碼，並對任何保存的密碼進行加密——使其難以被竊取。 一些密碼管理器甚至允許您使用指紋或面部等生物識別技術——提高安全性和便利性。

雖然瀏覽器在密碼安全方面已經開始迎頭趕上，但它們還沒有達到密碼管理器的水平，這使得它們成為不合適的選擇。

這裡的另一個潛在安全風險是使用簡單密碼。 NordPass 在 2021 年進行的研究表明，儘管開展了大量宣傳活動，但極其不安全的密碼仍然普遍存在。 事實上，研究人員發現密碼“123456”的使用次數超過 1.03 億次，其次是同樣可疑的“123456789”，使用次數超過 4600 萬次。 如果您想知道，“密碼”、“qwerty”和“iloveyou”等經典仍然存在於列表中。

這些密碼只需不到一秒鐘的時間就可以破解，這使得它們非常不安全。 使問題更加複雜的是密碼破解軟件變得更加先進，甚至可以解釋特殊字符替換，例如將 a 替換為 @ 或將 e 替換為 3。

預防

很少有人喜歡輸入長而復雜的密碼，導致人們走捷徑。 研究支持這一斷言，這就是為什麼幫助用戶使用更好的密碼如此重要的原因。

鼓勵更好的密碼衛生。

強密碼是您可以採取的降低風險的最重要步驟之一。 強大的 WordPress 密碼策略可以幫助您確保用戶不使用諸如“123456”之類的密碼，研究表明，這種密碼仍然很常見。

使用 WordPress 密碼安全插件 WPassword，您可以確保 T 遵循良好的密碼實踐。您可以設置自己的策略，幫助您獲得讓您感到舒適和滿意的策略配置文件。

阻止用戶在瀏覽器中保存密碼是另一個重要步驟，可以幫助您（和您的用戶）降低風險。 畢竟，不僅僅是他們的 WordPress 密碼有被盜的風險——社交媒體、銀行和所有其他密碼同樣面臨風險。

密碼管理器已成為主流，有許多解決方案可供選擇。 密碼管理器不僅消除了與在瀏覽器中保存密碼相關的風險，而且還可以幫助您提供更強大的密碼，如果密碼洩露，有些人甚至會提醒您。

第 2 步：社會工程學

一旦攻擊者設法訪問員工的帳戶，他們就會著手註冊 2FA 設備以繞過 2FA 提供的安全機制。 由於 2FA 相當強大，攻擊者發起了雙管齊下的攻擊，利用社會工程策略繞過 2FA。

• 叉子一：2FA 疲勞——在 2FA 疲勞攻擊中，攻擊者嘗試註冊多個 2FA 設備，有效地迫使受害者處理多個 2FA 請求。 這種類型的攻擊主要在推送通知中普遍存在，因為受害者所要做的就是接受——無論是由於無知、疲勞還是其他原因。
• 爪子二：Vishing - Vishing 是一種社會工程攻擊，攻擊者在其中呼叫受害者（語音網絡釣魚），聲稱自己是處於權威地位的人。 這種假裝的權威被濫用，讓受害者覺得他們別無選擇，只能服從來電者的要求。 這些要求可能包括洩露信息或採取某些行動，例如點擊特定鏈接。

分析

社會工程仍然是攻擊者用來繞過安全措施的最常用工具之一。 在某些情況下，攻擊者可能會發現欺騙他人比處理安全系統更容易。 在這種情況下，攻擊者不得不求助於社會工程來繞過 2FA。

社會工程有多種形式，需要全面的安全策略來確保攻擊不會成功。 由於社會工程以人為目標，持續的宣傳活動可以大大減少和減輕風險。

社會工程依賴於許多原則，包括恐嚇、緊迫性、熟悉度、社會證明、權威和稀缺性。 這些原則被惡意使用，以使人們遵守他們本來不會同意的請求。

預防

添加雙重身份驗證

強密碼只是第一道防線。 2FA 是優秀在線服務的另一個重要方面

能夠阻止絕大多數在線攻擊的安全性。 2FA，需要任何潛在的攻擊者

還可以訪問註冊用戶的電話——這非常困難。

思科的攻擊者從未設法繞過 2FA 的防禦 - 相反，他們依靠欺騙策略來欺騙 t

受害者同意了他們的請求——這最終讓他們繞過了 2FA。

即便如此，2FA 仍然是在線帳戶安全的強大解決方案，有助於阻止攻擊，或者，

至少，減慢他們的速度。 幸運的是，將 2FA 添加到您的 WordPress 網站很容易。

投資於您的用戶

用戶教育是一個經常被忽視的強大工具——直到發生事故。 俗話說，預防勝於治療。 積極主動比修復損壞更有益。

制定一項政策，除其他外，要求用戶報告他們沒有預料到的 2FA 請求，並明確表示即使他們錯誤地接受了任何此類請求——也應該報告。 用戶往往害怕此類錯誤引起的反響，導致此類事件未被報告。 了解這可能發生在任何人身上——寬大處理和理解對您和您的用戶都有幫助。

每隔一段時間花點時間了解一下政策，如果可能的話，讓用戶參加專為人員設計的短期網絡安全課程。

第三步：權限提升

一旦攻擊者獲得初始訪問權限，他們就會升級到管理員級別的權限，從而允許他們訪問多個系統。 這就是最終洩露它們的原因，因為它提醒了安全響應團隊——他們能夠調查並將它們從環境中移除。

分析

在權限提升中，攻擊者試圖獲得對具有比最初被破壞的權限更高權限的帳戶的訪問權限。 由於低權限帳戶通常不像高權限帳戶那樣受到嚴格保護，因此它們更容易被入侵。 一旦獲得初始訪問權限，攻擊者可能希望提升權限以訪問更敏感的數據或造成更大的破壞。

預防

雖然 WordPress 總的來說是一個安全的應用程序，但它也不能免受攻擊。 減少攻擊面對於最大限度地降低風險至關重要。 這種減少攻擊表面積的過程稱為強化，可以在多個級別上完成，包括：

WordPress 加固
PHP 加固
Web服務器加固
OS（操作系統）加固
MySQL 加固

您可以強化哪些子系統將取決於您的 WordPress 的託管方式。 如果您有 WordPress 託管計劃，您的託管服務提供商會執行大部分任務。 另一方面，如果您管理自己的服務器，則需要自己加固每個子系統。

第四步：工具安裝

一旦攻擊者獲得足夠的權限（在事件響應團隊終止訪問之前），他們就會安裝各種持久性工具以確保他們可以保持訪問權限。 這些工具將提供未來的訪問權限——無論攻擊者計劃重新訪問還是將訪問權限出售給第三方。

分析

持久性工具和方法，也稱為後門，具有雙重危險，因為它們允許未來的攻擊訪問。 如果它們未被發現，它們將繼續為攻擊者提供對環境的持續訪問。 由於大多數這些工具旨在避免檢測，因此找到它們可能需要一些額外的工作。

像 Google 這樣的供應商也可能將您的域或 IP 列入黑名單，從而對您的搜索引擎排名產生負面影響。 這可能更難以恢復，特別是如果在註意到違規之前就已經造成了相當大的損害。

WordPress 後門還利用了幾個 PHP 函數，這可以使它們更容易被檢測到。 這並不意味著所有後門都使用某些 PHP 函數，但需要牢記。

預防

查找攻擊者留下的所有惡意軟件和軟件可能非常困難。 大多數 WordPress 管理員傾向於在最初的違規行為之前使用較早的備份。 幾家公司還提供專業的 WordPress 清潔服務。 某些插件還可以幫助您找到 WordPress 惡意軟件。

您應該使用的一個非常寶貴的工具是 WordPress 文件更改監視器，它是 WordPress 的文件完整性監視器。 這個免費插件基本上每次運行時都會獲取文件系統的哈希值，然後將其與之前的哈希值進行比較。 如果任何文件有最輕微的變化，哈希將完全改變。 這將允許您開始調查以確定是否發生了違規行為。

另一個可以幫助您跟踪幕後情況的重要工具是 WP 活動日誌。 使用此插件，您將保留 WordPress 活動日誌，讓您深入了解 WordPress 網站的用戶和系統活動，讓您儘早發現可疑行為。 借助 3rd 方插件集成和電子郵件或 SMS 警報等功能，您將能夠隨時了解最新信息。

全面的安全計劃是唯一的安全計劃

對思科的攻擊表明，黑客在實施攻擊方面變得更加創新和復雜——使用多個向量來增加成功入侵的機會。 雖然像安裝防火牆這樣的措施仍然很重要，但它們並不是傳統智慧所描繪的靈丹妙藥。 相反，需要一種更全面的方法來確保我們的 WordPress 網站在各個方面都受到保護。

正如思科漏洞向我們展示的那樣，多層對於確保 WordPress 安全加固至關重要； 然而，人的因素仍然必不可少。 在許多方面，用戶是任何 WordPress 網站成功的利益相關者，雖然實施諸如最小權限等政策勢在必行，但用戶教育也是如此。