从供应链攻击中恢复：3CX黑客攻击事件得到的教训

3CX通信软件的泄露成为历史上第一个公开记录的“供应链攻击导致另一个供应链攻击”的事件。确认的受害者包括能源部门的两个关键基础设施组织和金融部门的两个组织。

供应链攻击试图通过受信任的外部提供商的软件更新机制渗透受害者的系统，从而逃避网络安全防御。

针对3CX的攻击活动始于不受支持的X_TRADER金融软件的木马化版本。这随后导致了公司、软件和客户损失。来自ESET遥测的数据表明，客户端使用了数百个恶意3CX应用程序。

分析显示，一旦安装了带有木马动态链接库（DLL）的X_TRADER软件，它就会收集信息，窃取数据（包括来自多个浏览器的凭据），并使攻击者能够在被攻破的计算机上发布命令。这种前所未有的访问也被用来破坏3CX的软件，利用它向公司的企业客户发送窃取信息的恶意软件。

在调查以Linux用户为目标的“Operation DreamJob”活动时，ESET的研究人员发现了其与拉撒路组织（Lazarus group）存在关联。

然而，问题是，当公司所有的安全层都部署到位，但危险来自供应商或可信任的合作伙伴时，公司应该如何保护自己？

事件回顾

X_TRADER是Trading Technologies开发的一款专业金融交易工具。该公司于2020年4月停用了这款软件，但直到2022年仍可下载。与此同时，在此期间，供应商的网站遭到入侵，转而提供恶意下载。研究显示，Lazarus组织可能在2022年侵入了Trading Technologies。虽然Trading Technologies表示，他们早已通知客户将在2020年4月之后不再支持或服务X_Trader，但随着人们继续下载这款被置若罔闻的软件，该软件现在已受到损害。

他们在声明中写道：“鉴于公司在2020年初之后停止托管、支持和服务X_Trader，任何人都没有理由下载该软件。”该公司进一步披露，在2021年11月1日至2022年7月26日期间，只有不到100人下载了受感染的X_Trader软件包，这是一个很小的数字，但具有累积效应。

其中一个下载X_Trader的人还是3CX的员工，他在自己的个人电脑上安装了受感染的软件。该软件包含恶意软件，ESET将其检测为Win32/NukeSped. MO（又名VEILEDSIGNAL）。

3CX首席网络官Agathocles Prodromou在公司博客上写道，“在员工的个人电脑最初被VEILEDSIGNAL恶意软件入侵后，Mandiant评估称，攻击者从员工的系统中窃取了该员工的3CX公司凭据。VEILEDSIGNAL是一个功能齐全的恶意软件，它为威胁行为者提供了管理员级别的访问权限和对受感染系统的持久性。”

经验教训

1. 使用合法来源且经过验证和更新的软件

整个事件始于一名员工下载了一个自2020年4月以来便不受支持的软件应用程序。这应该提醒我们：使用经过验证和更新的软件是至关重要的，因为不受支持的软件很容易被恶意行为者滥用。

下载软件时，将其哈希值与供应商提供的哈希值进行比较。供应商通常会在下载链接旁边发布哈希值，或者您可以直接联系他们并要求提供这些哈希值。如果这些散列不匹配，那么将意味着您正在下载修改过的软件。

同样地，确保从合法网站下载软件，因为骗子可以创建一个高度仿真的假冒网站来欺骗用户。

如果您不确定文件散列或网站的合法性，请考虑使用VirusTotal进行检测。这是一款免费的搜索引擎类工具，它可以分析文件、域、IP地址和URL，以判断给定的防病毒解决方案是否检测到提交的文件为恶意文件。它还在多个沙箱中运行样本。

2. 提高员工安全意识

在3CX员工的个人电脑上安装了恶意软件后，攻击得以继续进行。由此，威胁行为者能够窃取员工的凭据并渗透3CX的整个公司系统。

避免这种情况的最佳实践是使用数据加密和多因素身份验证（MFA）来防止对企业系统的非法访问，创建多层防御，使骗子更难获得访问权限。

同样地，访问权限也应该得到更严格的管理。没有必要让所有员工对所有公司环境都拥有相同的访问权限。当然，管理员和软件工程师需要更广泛的访问权限，但他们的访问权限也可能不同。

敏感数据也应该远离员工的设备，只能通过安全的云系统共享，最好通过额外的云和服务器安全措施进行保护。

3. 遵循强密码策略

拥有强大的密码策略可以在很大程度上防止攻击，但是通过不断更改密码和对密码复杂性的广泛要求来恐吓员工是完全没必要的。目前的趋势是用密码短语代替标准密码，这是一种更安全、更难以猜测的密码替代方案。

过去，一个被认为是强密码的密码至少有8个字符，包括大写字母和小写字母，至少一个数字和一个特殊字符。这种方法带来了问题，因为在所有使用过的网站和设备上记住几十个不同的复杂密码是一件痛苦的事情，所以人们倾向于在不同的地方重复使用相同的密码，这也使他们更容易受到暴力破解攻击和凭据填充攻击。

因此，专家们不再要求使用一串随机字符，而是建议使用易于记忆的短语。这些密码仍然应该包含数字和特殊字符，包括表情符号，以防止机器轻易猜出它们。Passkey也是一个值得一提的选择，因为它们使用加密来提供更高级别的保护。

4. 考虑特权访问管理

特权访问管理（PAM）可以防止攻击者访问具有敏感数据访问权限的特权公司帐户，例如经理、审计人员和管理员的帐户。

为了保护这些有价值的帐户不被泄露，应该有一些额外的保护层：即时（JIT）关键资源访问权限、监视特权会话以及更严格的密码策略等等。

在供应链攻击中，供应商和合作伙伴都是攻击者通往您系统的途径。因此，为它们建立严格的安全需求也是一个好主意。您还可以进行第三方数据泄漏检测或安全评估，以便在黑客有机会利用它们之前，发现任何数据泄漏和安全漏洞。

5. 应用最新的补丁

作为3CX供应链攻击的一部分，攻击者利用了Windows签名验证功能中的一个漏洞。值得一提的是，微软早在2013年就修复了这个漏洞。

但是，可能是由于担心应用修复意味着Windows不再验证不兼容文件的签名，所以一部分用户并未选择修复该漏洞。这就给黑客留下了足够的行动空间，为了木马化3CX应用程序，攻击者将恶意代码插入到它使用的两个DII中，这样易受攻击的Windows系统仍然会验证签名。

修复供应商的漏洞是防止此类威胁的关键，所以只要有可能，尽快获得最新的安全补丁及应用程序和操作系统更新。

6. 把安全标准定得高一些

您可以从正确的反恶意软件入手。领先的网络安全解决方案提供多层保护，可以在下载或执行之前识别已知的威胁。

在恶意软件已经感染设备的情况下，您的防护机制应该检测并响应可能试图擦除文件或加密文件的恶意软件，例如擦除器或勒索软件。

不要忘记检查您是否安装了最新版本的端点保护工具。

下一步是减少您的攻击面。正如3CX攻击所表明的那样，漏洞不仅仅是软件问题，简单的人为错误也可能导致毁灭性的后果。

公司还应该为安全事件准备安全响应计划。这些通常包括准备、检测、响应、恢复和事件后分析。同样地，不要忘记持续备份文件，以确保业务在中断情况下的连续性。

网络安全既关乎软件，也关乎人类

结论很明确：3CX攻击证明了供应链攻击是多么险恶，但它强调的最重要的事情是，只要一个人为错误的行为，整个纸牌屋就会倒塌。

希望在阅读完这篇文章后，您能更好地理解如何准备应对来自软件供应商的威胁向量，虽然人为错误可能不可避免，但一个健全的网络安全态势至少可以缓解大多数网络恐惧。