Twitter是如何被黑客入侵

今天就跟大家聊聊有關(guān)Twitter是如何被黑客入侵，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

一、Twitter史上最嚴(yán)重安全事件真相浮出水面

之前Twitter的大規(guī)模賬號入侵事件無疑是目前為止受到最廣泛關(guān)注的一起安全事件。

回望剛剛過去不到一周的這起事件：7月15日，包括美國前總統(tǒng)奧巴馬、亞馬遜CEO貝佐斯、微軟創(chuàng)始人比爾·蓋茨，以及巴菲特、馬斯克等人在內(nèi)的大量 Twitter 意見領(lǐng)袖賬號被盜，突然集體發(fā)送比特幣釣魚推文，誘導(dǎo)粉絲向黑客的比特幣錢包轉(zhuǎn)賬。目前為止，攻擊者BTC賬戶已經(jīng)收到12.865個(gè)比特幣，約合80多萬元，并且?guī)缀跻呀?jīng)全部轉(zhuǎn)出。

釣魚的手法和文案非常直白：誘騙粉絲轉(zhuǎn)賬并承諾雙倍奉還。之所以這么多人上鉤，背后自然是各路大V賬號的信用背書。接下來，讓我們聚焦事件的關(guān)鍵，這些賬號是如何集體被盜的。

案發(fā)后不久，Twitter Support賬號滾動消息稱：初步判定內(nèi)部工具被惡意利用了。很多人由此會有產(chǎn)生疑問，Twitter員工居然可以直接使用任何用戶身份發(fā)送推文？

7月18日，Twitter公布了本次大規(guī)模賬號入侵事件的更多細(xì)節(jié)和初步調(diào)查結(jié)論，揭開了這起嚴(yán)重事件真相面紗的一角。我們可以獲取攻擊者作案的關(guān)鍵手法：

顯然這并不是一個(gè)單純的外網(wǎng)業(yè)務(wù)安全漏洞，而是一場針對性的黑客攻擊。攻擊者使用社會工程學(xué)定向瞄準(zhǔn)了多個(gè)特定的Twitter員工，這意味著攻擊者可以竊取這一小批 Twitter 員工的身份憑據(jù)（身份憑據(jù)是指如：賬號密碼、Cookie、AccessToken、SecretKey等數(shù)據(jù)），從而以合法員工身份操作 Twitter 內(nèi)部的關(guān)鍵系統(tǒng)，并且調(diào)用了只有 Twitter 內(nèi)部支持部門才有權(quán)限使用的內(nèi)部工具，訪問了130個(gè)Twitter賬號的信息。攻擊者利用內(nèi)部工具重置了其中至少45個(gè)賬號的密碼，登陸到目標(biāo)賬號發(fā)送釣魚推文，完成攻擊目標(biāo)。

調(diào)查仍在繼續(xù)，從目前的攻擊手法看，這必然可以定性為一起APT攻擊事件。在這起事件里，我們有理由相信攻擊者已經(jīng)潛伏了不短的一段時(shí)間，這也是一條很典型的盜用合法身份、操作內(nèi)部工具達(dá)成入侵目的的攻擊路徑。

作為同樣知名的大型互聯(lián)網(wǎng)公司，騰訊會面臨這樣的安全風(fēng)險(xiǎn)嗎？答案是肯定的，擁有著巨大的數(shù)字資產(chǎn)，騰訊在現(xiàn)實(shí)世界中一直是多方黑客覬覦的目標(biāo)。攻擊者無時(shí)無刻不在對騰訊進(jìn)行掃描和滲透，想方設(shè)法進(jìn)行入侵，其中不乏有與這次Twitter事件一樣的APT高級攻擊者。

未知攻焉知防，「騰訊藍(lán)軍」其實(shí)早在公司內(nèi)部的多次紅藍(lán)對抗網(wǎng)絡(luò)安全攻防演習(xí)中已使用過類似的攻擊手法，模擬黑客的APT攻擊手法核心業(yè)務(wù)，并達(dá)成攻擊目標(biāo)。信息安全行業(yè)中通過模擬真實(shí)的攻擊手法來檢驗(yàn)業(yè)務(wù)系統(tǒng)安全性、專業(yè)從事攻擊的安全團(tuán)隊(duì)叫做 Red Team，國內(nèi)稱為“藍(lán)軍”。

二、如果你是黑客，你會怎樣實(shí)施APT攻擊

居安思危，換位思考，如果你是黑客，你會怎樣實(shí)施APT攻擊？這也是騰訊藍(lán)軍一直思考的問題。

我們一般將入侵行為分為兩種，一種是非針對性的擇弱入侵，比如挖礦、垃圾郵件、DDoS等等。它們的特點(diǎn)是批量和自動化，獲利模式通常是基于控制大量肉雞來構(gòu)建僵尸網(wǎng)絡(luò)。另一種入侵行為是定向APT攻擊。

APT攻擊的全稱是高級持續(xù)性威脅（Advanced Persistent Threat），與一般“擇弱入侵”不同的是，APT定向攻擊的特點(diǎn)，決定了這是一種不顧強(qiáng)弱的針對性攻擊，在攻擊之前黑客一定會大量收集攻擊目標(biāo)的基本信息、制定攻擊策略。Twitter案例中的“攻擊目標(biāo)特定員工”也是APT中常見的攻擊入口之一。除此之外還有諸如物理入侵、供應(yīng)鏈攻擊、攻擊線上業(yè)務(wù)等等，真實(shí)世界攻擊入口之多可能遠(yuǎn)超你的想象。

1. 線上資產(chǎn)

線上資產(chǎn)是首當(dāng)其沖會遭受黑客攻擊的目標(biāo)之一。業(yè)務(wù)網(wǎng)站的嚴(yán)重漏洞，可能直接導(dǎo)致黑客入侵獲取服務(wù)器權(quán)限，進(jìn)而入侵內(nèi)網(wǎng)。

2. 辦公環(huán)境

辦公環(huán)境的自助終端機(jī)、無人值守未鎖屏的PC、投放帶病毒的U盤、WiFi網(wǎng)絡(luò)等等都可能是辦公環(huán)境的攻擊入口，攻擊者可以進(jìn)一步獲取員工PC控制權(quán)或者辦公內(nèi)網(wǎng)的訪問權(quán)限。

3. 組織人員

人員是信息系統(tǒng)中最薄弱的環(huán)節(jié)，大部分的安全問題都是由于人員的疏忽或者失誤導(dǎo)致的。通過對目標(biāo)人員進(jìn)行釣魚、社工以及投放木馬，定向獲取關(guān)鍵人員的合法賬號或者PC的控制權(quán)，進(jìn)而利用其身份進(jìn)入目標(biāo)企業(yè)內(nèi)網(wǎng)。甚至可能攻擊目標(biāo)人員的私人電腦、家庭WiFi、常去的咖啡廳等等防護(hù)較為薄弱的環(huán)節(jié)，進(jìn)而竊取人員的敏感憑據(jù)。

4. 合作方

目標(biāo)企業(yè)與其合作方之間往往有很多緊密的合作項(xiàng)目，網(wǎng)絡(luò)連通權(quán)限或者訪問權(quán)限都比外網(wǎng)要高，搞定合作方之后再向目標(biāo)企業(yè)的核心業(yè)務(wù)滲透，通常比較可行。

5. 供應(yīng)鏈

顧名思義，就是先向供應(yīng)鏈中的產(chǎn)品投毒，來間接攻擊目標(biāo)。比如攻擊常見的軟件倉庫、開源軟件、軟件安裝包、下載站點(diǎn)、服務(wù)供應(yīng)商等等，進(jìn)而在這些供應(yīng)鏈上游產(chǎn)品上捆綁木馬，入侵目標(biāo)企業(yè)內(nèi)部。

攻擊者突破外網(wǎng)邊界，獲取訪問企業(yè)內(nèi)網(wǎng)的入口之后，攻擊活動其實(shí)才剛剛啟動。穩(wěn)住落腳點(diǎn)，攻擊者開始了漫長的通往核心業(yè)務(wù)數(shù)據(jù)的道路，在攻擊者面前展開的內(nèi)網(wǎng)就像是一片充滿戰(zhàn)爭迷霧的森林。對于超大型企業(yè)來說，內(nèi)網(wǎng)有幾十萬甚至上百萬服務(wù)器，業(yè)務(wù)核心數(shù)據(jù)存放在哪里，如何抵達(dá)核心區(qū)域，又如何去操作數(shù)據(jù)？這是攻擊者需要解決的核心問題。逐個(gè)攻擊內(nèi)網(wǎng)服務(wù)器無異于大海撈針，那如何快速達(dá)成攻擊目標(biāo)，竊取核心業(yè)務(wù)數(shù)據(jù)、甚至操作企業(yè)資金呢？

三、數(shù)據(jù)保護(hù)

每次安全演習(xí)過程中，作為攻擊方，藍(lán)軍都需要解答這個(gè)問題。

騰訊藍(lán)軍從2006年組建至今，陸續(xù)聯(lián)合公司內(nèi)各業(yè)務(wù)團(tuán)隊(duì)開展?jié)B透測試，包括各類重要業(yè)務(wù)，發(fā)現(xiàn)并消除了大量潛在安全風(fēng)險(xiǎn)。從2008年以來，隨著公司洋蔥反入侵系統(tǒng)的上線，藍(lán)軍開始持續(xù)進(jìn)行紅藍(lán)對抗演練，模擬黑客進(jìn)行攻擊，防患于未然。

2019年，騰訊藍(lán)軍特別聯(lián)合公司「數(shù)據(jù)保護(hù)項(xiàng)目」開展了利劍專項(xiàng)，通過安全演習(xí)反向驗(yàn)證業(yè)務(wù)安全性，為核心業(yè)務(wù)把脈，提供全方位安全保障。隨著多年來的輪番演習(xí)和加固，可以看到核心業(yè)務(wù)的安全水平是不斷提高的，攻擊的成本和門檻也不斷提升。

回到前文的問題，那如何快速達(dá)成操縱核心業(yè)務(wù)數(shù)據(jù)的攻擊目標(biāo)？攻擊者需要找到內(nèi)網(wǎng)中關(guān)鍵的“燈塔”。這些“燈塔”可以是關(guān)鍵的人員、也可以是關(guān)鍵的應(yīng)用系統(tǒng)，比如內(nèi)網(wǎng)的集權(quán)系統(tǒng)，域控、郵箱服務(wù)器、代碼倉庫、運(yùn)維系統(tǒng)、運(yùn)營系統(tǒng)，或者離用戶數(shù)據(jù)或資產(chǎn)非常近的客服系統(tǒng)、財(cái)務(wù)系統(tǒng)等等。

大型企業(yè)內(nèi)網(wǎng)涉及到復(fù)雜的網(wǎng)絡(luò)區(qū)域劃分、業(yè)務(wù)架構(gòu)和底層協(xié)議交互，在內(nèi)網(wǎng)攻擊過程中瞄準(zhǔn)業(yè)務(wù)正常操作流程中的關(guān)鍵應(yīng)用系統(tǒng)顯然可以起到事半功倍的效果。縱觀歷年來眾多內(nèi)網(wǎng)安全演習(xí)，早期我們也嘗試過直接掃描和爆破核心數(shù)據(jù)庫，甚至通過修改某些數(shù)據(jù)庫中的余額字段達(dá)到給自己“充錢”的演習(xí)目標(biāo)。隨著攻防對抗的遞進(jìn)，這條路已經(jīng)重兵把守，攻擊成本非常高，任何大動作的掃描都會引起安全系統(tǒng)或者業(yè)務(wù)監(jiān)控?cái)?shù)據(jù)上的告警，導(dǎo)致攻擊行為暴露。于是攻擊路徑逐漸轉(zhuǎn)向更加隱蔽的方式，這也是APT攻擊最典型的手法：冒用合法身份操作內(nèi)部工具和平臺。

類似于Twitter這次安全事件中涉及的“內(nèi)部工具”中的重置密碼、修改用戶信息等功能其實(shí)是屬于業(yè)務(wù)底層的最基本邏輯，是給用戶提供對應(yīng)服務(wù)的。當(dāng)然這些工具并不能隨便調(diào)用，只有極少數(shù)核心人員或者通過對應(yīng)的內(nèi)部系統(tǒng)才有權(quán)限操作，并且也需要層層審批和審計(jì)。

所以這些業(yè)務(wù)系統(tǒng)和工具的安全性就至關(guān)重要了。

四、核心業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)如何防護(hù)

內(nèi)外網(wǎng)業(yè)務(wù)系統(tǒng)的安全防護(hù)離不開業(yè)務(wù)同事的共同參與，而公司內(nèi)「數(shù)據(jù)保護(hù)項(xiàng)目」為大家提供了具體的數(shù)據(jù)安全指標(biāo)和參考規(guī)范。依據(jù)騰訊藍(lán)軍多年來對公司內(nèi)部和外部公司的各種安全演習(xí)對抗的實(shí)戰(zhàn)經(jīng)驗(yàn)，從攻擊者視角看，內(nèi)網(wǎng)各個(gè)核心業(yè)務(wù)的風(fēng)險(xiǎn)路徑之間存在大量的共性。如何提升核心業(yè)務(wù)的安全水平？我們可以從以下幾個(gè)方面規(guī)避風(fēng)險(xiǎn)：

1. 消除敏感信息泄露

信息搜集是攻擊過程中非常重要的一個(gè)環(huán)節(jié)，內(nèi)網(wǎng)各種系統(tǒng)上的信息可能會泄露各種敏感信息，包括賬號密碼、文檔、代碼等等。這些信息往往會打開攻擊者通往關(guān)鍵系統(tǒng)的突破口。

2. 高危服務(wù)與組件的鑒權(quán)和管控

高危服務(wù)和組件在內(nèi)網(wǎng)如果未加鑒權(quán)和管控，可能直接被利用獲取服務(wù)器控制權(quán)。比如：Docker API、Redis、各種語言調(diào)試端口等等。

3. 增強(qiáng)網(wǎng)絡(luò)隔離策略

嚴(yán)格的網(wǎng)絡(luò)訪問控制和隔離措施，可以有效增加攻擊者接近核心數(shù)據(jù)的難度。

4. 嚴(yán)格的權(quán)限控制與審計(jì)

安全一個(gè)很重要的概念就是要分級管理，在大量的內(nèi)網(wǎng)網(wǎng)站中，對于一些敏感網(wǎng)站，需要進(jìn)行登錄態(tài)隔離，而對敏感操作，比如涉及到資金、用戶數(shù)據(jù)相關(guān)的，必須增加審批流程和二次校驗(yàn)。

安全是一個(gè)長期的工作，在互聯(lián)網(wǎng)生態(tài)高速發(fā)展的現(xiàn)在，個(gè)人信息和數(shù)據(jù)安全越來越受到重視，安全是大型互聯(lián)網(wǎng)公司所有業(yè)務(wù)的生命線。反入侵更是基礎(chǔ)安全領(lǐng)域的重中之重，各大互聯(lián)網(wǎng)企業(yè)無時(shí)無刻不面臨著全球黑客甚至是國家隊(duì)的定向攻擊，一旦出現(xiàn)重大事件，對商業(yè)品牌會造成無法挽救的損失。我相信安全藍(lán)軍和紅藍(lán)對抗的形式會繼續(xù)在曠日持久的安全戰(zhàn)場上發(fā)揮重要作用。

看完上述內(nèi)容，你們對Twitter是如何被黑客入侵有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。