MidnightEcklipse CVE-2024-3400 PAN-OS 漏洞的行動事件對於網路情報價值的啟示

儘管最近 MidnightEcklipse CVE-2024-3400 PAN-OS 的攻擊行動所影響的公司數量有限，但此次事件提醒我們重視觀察網路流量，以監測行為和異常，以盡早發現指向惡意活動和新型侵害的跡象。

在這起特殊事件中，攻擊者利用 Palo Alto Networks PAN-OS 軟體中在關鍵指令中進行 Zero-Day 攻擊，該漏洞允許未經身份驗證的攻擊者透過 GlobalProtect 在受感染的防火牆上以 root 權限執行任意代碼。

這次複雜的攻擊利用受感染的設備進入內部網路，通過在外部伺服器上創建 cron 工作來執行指令以滲透獲取資料。攻擊者隨後埋入了一個基於 Python 的後門，使攻擊者能夠進行遠距網路請求，在設備上遠程執行命令，從而進一步的惡意操控，如橫向移動、資料竊取和憑證採集。

資安公司 Volexity 首先識別並報告了此事件，並與多個客戶以及 Palo Alto Networks 和 Unit 42 合作應對和補救入侵。根據 Volexity 威脅研究的事件報告和 Unit 42 威脅簡報，攻擊者利用命令注入漏洞（現已識別為 CVE-2024-3400）在被感染的防火牆上以 root 權限執行任意代碼。該報告的重點包括：

• 2024年4月10日，Volexity 在其一個網路安全監控（NSM）客戶處識別到這個 Zero-Day 攻擊，並於2024年4月11日觀察到同一個威脅行為者在另一個客戶處進行相同的攻擊。
• 根據 Volexity 的鑑識分析，首次發現試圖利用漏洞的跡象是在2024年3月26日。
• 攻擊者通過在防火牆設備上放置 zero-byte 的文件來測試漏洞，以驗證其可利用性，並三天後，觀察到攻擊者利用防火牆設備成功部署惡意 payloads。
• 成功攻佔設備後，攻擊者從他們能控制的遠端伺服器下載了更多的工具，以針對網路訪客攻擊，並對受害者的內部網路滲透，並且攻擊者迅速地橫向移動進入受害者的網路，提取敏感憑證和其他文件，這些文件在入侵期間和可能在入侵後都能啟用訪問。
• 攻擊者所使用的技術和速度顯示了一個技術高超的威脅行為者，對於如何繼續推進他們的目標有一個清晰的手法。

這次特定攻擊序列的詳細資訊和時間表可以在 Volexity 報告和 Unit 42 威脅簡報中找到。

我們從中學到了什麼？

儘管這起特定事件僅影響了使用特定漏洞的少數公司，但突出這一事件的價值在於說明實時觀察網路流量以更早地發現類似攻擊並揭示入侵指標的重要性。通過在攻擊發生時及早識別攻擊，可以顯著減少停留時間，這在這個特定事件中就是這種情況。

定期檢查其他入侵後情境經常強調了網路可觀察性的價值，並利用網路情報記錄所有細節的活動，因為它們發生。網路流量 Metadata 元資料（NetFlow）提供了基礎網路情報，並被上游的分析解決方案所利用，這些解決方案賦予了安全團隊檢測異常活動和可能指示入侵的 IoC 的能力，並跟蹤威脅行為者在網路上的橫向移動。

鑑於資安威脅的侵略性和進步性，以及最近的零日攻擊，利用從網路衍生的情報和先進的分析能力融入安全操作是一種重要策略，可用於識別和減輕入侵。

觀察性是您最好的防禦

當我們檢視這個最近的情境時，可以清楚地看到對所有網路活動的可視性至關重要。隨著威脅形勢不斷變化，採用跨越傳統邊界防禦的多層次資安方法是保持強大情報的重要途徑。

這裡有一些關鍵的最佳實踐，可幫助識別利用和不斷演變的攻擊，如入侵、勒索軟體和資料外洩、殭屍網路和間諜入侵等，因為它們出現。

1. 建立健全的網路可見性－建立對重要網路交通點的所有流量的可見性，並將情報提供給安全監控平台，如 SIEM、NDR、XDR、IPS/IDS 或其他監控平台工具。
2. 建立對加密流量的可見性－威脅行為者越來越多地使用加密來逃避檢測。根據 WatchGuard 2023年第四季度 Internet 安全報告，藏在加密後面的惡意程式在2023年第四季度增加到55％。其他安全威脅報告突顯了類似的統計數據，這些統計數據證明了藏在加密流量中的威脅的普遍存在。這意味著如果沒有對加密流量的可見性，您將錯過超過一半的跨網路攻擊。雖然解密確實是應對這一挑戰的一種方法，但這不僅速度慢且昂貴，而且越來越多的流量無法在沒有密鑰的情況下進行解密。這將使您對外部流量視而不見。因此，發現藏在加密流量中的威脅的最佳方法是從加密流量中提取指紋和其他重要指標，而無需加密。
3. 啟用歷史法醫分析－利用支援長期歷史分析的上游 SIEM、NDR 或 XDR 平台至關重要。法醫分析可識別異常行為，指示入侵的範圍和規模，有助於制定更好的未來防禦策略。即使您沒有及早發現攻擊，法醫分析也可以在後期識別出 IoC 的存在，並確認您已受到攻擊。它還使安全分析人員能夠了解攻擊向量，並識別異常行為和動作，這將有助於制定更快速地預防和補救未來攻擊的策略，以減少停留時間。
4. 建立東西向流量可見性－檢測攻擊隨著不同 IP 地址、憑證和機器在網路上移動，以尋找敏感數據或關鍵資產。觀察東西向流量將多個資源的情報和數據進行關聯，揭示東西向連通模式和偵察異常，以及使用端口、協議、應用程式、文件共享、登錄失敗和其他可疑活動等活動。觀察東西向流量使安全分析人員能夠識別威脅行為者在網路上移動的攻擊向量，例如嘗試利用網路服務漏洞、部署惡意程式、使用竊取的憑證或破壞其他系統，以更好地防禦和預防未來入侵。
5. 具有分割的可見性至關重要－即使已經實施了網路分割，東西向可見性也很重要。雖然網路分割可以幫助防止預先利用的橫向移動，但在午夜日食事件中並非總是如此。後期利用的移動更難以控制，因為威脅行為者的活動可能已變得“可信”，因此分割可能無法完全鎖定此向量。還要考慮到網路分割會創建可見性盲點，這可能隱藏了典型攻擊者的戰術、技術和程序（TTP），例如 SQL 注入和探索式端口掃描。因此，在沒有東西向流量可見性的情況下實施分割可能會對您的安全姿態造成負面影響，而不是增強它。
6. 瞭解並觀察 TTPs－通過瞭解威脅行為者的操作方式，安全團隊可以更好地檢測和減緩攻擊的發生。了解各種 TTPs 的組合對於改進您的安全姿態至關重要。許多資安研究機構已發表了有價值的洞察力，介紹了常見的攻擊戰術，這些攻擊戰術可以幫助您的組織制定基於驗證的最佳實踐的應對策略，並進行自動操作和人工驗證。其中一個例子是 MITRE ATT&CK® 矩陣，它幫助資安團隊識別並應對常見的 TTPs。這個廣泛接受的矩陣定義了安全團隊如何持續監控網路活動，以檢測與已知 TTP 相關的異常行為，以在它變成全面攻擊之前停止它。MITRE ATT&CK 矩陣在檢測活躍入侵和識別計劃或偵察階段的威脅行為活動方面都很有用。這是至關重要的，因為早期檢測異常活動和減少停留時間是至關重要的，許多高調的攻擊都逃避了傳統的安全防護，橫向移動，並在數月的停留時間內發生。
7. 識別非標準流量模式－這是一種常見的攻擊技術，傳統網路日誌無法識別。系統日誌將顯示“A”通過網路連接到“B”。但應用層面的可見性可以識別“A”通過 SSL Web 連接的 443 端口建立了 SSH 或 QUIC 連接，以及有關連接和交換的更多資訊。
8. 啟用歷史法醫分析是必不可少的－始終利用歷史流量尋找線索。在這次事件中，攻擊行為者至少從2024年3月26日起一直在利用零日 PAN-OS 漏洞。據所有資料顯示，發現這個特定入侵的速度比行業平均停留時間要快得多。許多安全入侵報告中報告了200天或更長的典型停留時間。重要的是，您的監控解決方案能夠長期存儲歷史資料，以了解入侵是如何展開的，並可以找到與攻擊相關的流量模式變化。

為什麼 Flow Metadata 流量元資料是最佳網路情報來源

對無數攻擊的事件後分析揭示了觀察網路流量在識別和打擊滲透方面的價值和重要性。監控網路流量仍然是安全分析師工具箱中最有價值的資產之一。

觀察網路流量是黃金標準，收集和分析網路封包非常有價值。但是，隨著當今的網路流量量增加，收集、分析和存儲 PB 級網路流量已變得不切實際。為了跟上龐大的網路流量，安全運營團隊和網路運營團隊正在利用未抽樣的流量元資料（NetFlow）來智能提取相關網路流量指標，以優化收集、簡化分析並擴展歷史保留容量。

未抽樣元資料是根據對線路數據的全封包分析而形成的網路流量抽象，可識別使用者、協議、服務，並提供應用服務 context，揭露所有網路和使用者活動的完整且準確的摘要。與完整封包捕獲相比，流量元資料極為精簡且更高效，通常僅代表監測對象的 5%以下的網路流量。這種上下文豐富的元資料與捕獲的封包相比保留了高達95%的保真度，但所需的上游處理資源和實體存儲大幅減少。

利用流量元資料進行網路情報可以持續監視和記錄網路上的所有活動。保持歷史活動可讓安全分析師深入研究動作和活動，這將使安全團隊能夠檢測到顯示入侵的異常行為，並通過對網路上的威脅行為者的活動、互動和橫向移動進行可視化，以發現異常的流量模式並揭示指揮和控制通訊。

以下是基於流量的情報 (Flow-Based Intelligence) 的價值的一些範例：

• 在關鍵的流量聚合點建立全面的網路可視化，以觀察所有跨越常見功能邊界的通信，以識別並定位具有侵入性的活動。
• 使用未抽樣的1:1流量監控，避免傳統的 NetFlow “抽樣”，以確保您看到所有互動，並能夠捕獲並保留流量的完整鑑識價值以進行歷史分析。
• 確保您的上游收集和分析能力能夠處理和分析大量未抽樣的流量元資料，並且能夠長時間保留以支援重要的歷史鑑識分析活動。
• 定期審查您收集的網路情報，以建立“正常行為基線”，以改進異常檢測能力，以保持對新興威脅的領先地位。

基於流量的元資料可以顯著增加歷史保留時間，相較於封包捕獲，由於其高效的佔用空間。流量元資料可以僅代表實際網路流量的 99% 或更少，同時保持高達 95% 或更多的保真度。這意味著您可以更長時間地保存歷史流量，同時大幅降低存儲容量需求。考慮到當今的網路速度，大多數封包捕獲系統只能保留數小時的流量。在突顯的攻擊情景中，從滲透到首次發現差不多需要三個星期。對於這段時間內存儲任何量的網路封包都會極大地增加成本負擔。

NetQuest 能提供協助

網路流量情報在現代安全中扮演著關鍵角色，它提供了有價值的洞察力，了解所有穿過網路的活動。實時的網路情報提供了對網路行為的重要洞察，實現了積極的監控、威脅檢測和事件響應能力，可檢測新興的安全威脅和網路攻擊，並從已繞過現有控制的惡意流量中識別高風險行為。

NetQuest 通過實現成本效益的深度全網路可視性，實時挖掘和提取網路情報，為網路可觀察性帶來了顯著價值。NetQuest 網路感測器 (SNS) 通過檢查所有網路封包，將封包轉換為高價值的優化未抽樣元資料，自動化並擴展對網路流量的訪問。這種網路情報暴露了穿過網路的數據的模式、協議和量，以了解用戶、設備和系統之間的通信方式。

流媒體網路感測器提供多太比、線速的先進封包處理和分析服務，專為依賴大規模準確和可靠的網路封包情報的安全監控環境而調整。用戶可以從數千個數據屬性中選擇，從網路流量中提取相關指標，以揭示每個網路流和交易的上下文連接和用戶活動情報，並實現封包級的準確性。監測的網路流量可以提取多種元資料，例如：

• 網路統計和流量模式，例如流量量、流量速率、封包大小和響應時間
• 特定協議和服務，例如 HTTP、FTP、DNS 等及其相關行為流分析
• 用於分析主機或網路之間的網路流量流動
• 加密流量的握手和標頭
• 應用程式層次的元資料
• 固定和移動設備的訂戶/用戶信息

流媒體網路感測器無縫集成到幾乎所有 SIEM、NDR、XDR、IDS、IPS 和其他安全平台中，以實現超大規模、成本效益的網路可觀察性，提供相關上下文和一致的指標，同時優化儀器成本。

我們邀請您了解更多有關超大規模流量監控的信息，以實現規模化的前所未有的威脅情報，更好地抵禦不斷演變的威脅，並支持更全面的調查活動。 

Source: https://netquestcorp.com/operation-midnighteclipse-exploitation/ (CVE-2024-3400 PAN-OS Exploitation Teaches Us About the Value of Network Intelligence)