資安公司 Huntress 最近揭露的一起真實事件,血淋淋地展示了一個未加密的純文字密碼檔,如何成為壓垮駱駝的最後一根稻草,讓整套先進的防禦系統被駭客找到破口進而突破。
災難的引爆點
Huntress 的威脅應對團隊在處理一起客戶的資安事件時,發現了令人心驚的一幕。攻擊者在滲透進企業內部網路後,於一名資安工程師的桌面上,找到了一個名為 Huntress_recovery_codes-.txt 的檔案。這個檔案未經任何加密,裡面儲存的正是 Huntress EDR (端點偵測與應變) 解決方案的系統還原碼。這對攻擊者來說,無異於撿到了整座金庫的萬能鑰匙。
取得這組還原碼後,攻擊者即可利用此還原碼完全繞過多因素驗證 (MFA),還原碼的設計初衷是在緊急情況下回復存取權限,但當它以明文密碼的形式暴露時,就成了攻擊者繞過 MFA 的完美捷徑,於是,攻擊者利用還原碼,成功冒充了具有最高權限的使用者,堂而皇之地登入了 Huntress 的管理平台。
登入後,攻擊者迅速關閉了所有資安警報、移除端點上的 EDR 代理程式,試圖抹除自己的攻擊蹤跡。這讓企業的資安團隊瞬間變成聾子和瞎子,對正在發生的威脅一無所知。
駭客是如何進來的?
看到這裡,你可能會問,攻擊者一開始是如何進入內部網路的?答案往往指向企業的網路邊界設備。在這次事件中,攻擊者便是利用受感染的 SonicWall VPN 設備 取得了初步的立足點。這並非單一事件。網路邊界設備的漏洞一直是駭客組織的首要目標。
就在近期,加拿大網路安全中心 (CCCS) 才剛針對 SonicWall 第 7 代防火牆的 SSL VPN 功能發布緊急通告,警告其中可能存在一個「零日漏洞」。這類漏洞意味著,即使是維護良好的系統,也可能在官方發布修補程式前就遭到攻擊。然而,VPN 漏洞只是攻擊的「破口」,但真正讓災難失控的「引爆點」,是那個儲存未加密密碼的純文字檔。
未加密儲存密碼的四大風險
除了上述案例,將密碼以未加密的形式儲存,還會帶來以下主要風險:
任何人都能輕易讀取:未加密的密碼就像一本攤開的筆記本,任何能夠接觸到你的電腦或檔案的人,都能輕易讀取其中的內容。駭客可以透過惡意軟體、鍵盤側錄程式或間諜軟體,輕鬆竊取這些密碼。
缺乏存取控制與稽核機制:純文字檔案無法設定存取權限,也缺乏任何存取紀錄。這意味著你無法追蹤是誰在何時存取了這些密碼,也無法在發生資安事件時進行有效的調查。
版本控制與備份的風險:當你需要更新或撤銷密碼時,未加密的檔案無法提供安全的管理方式。此外,這些檔案也常常缺乏適當的備份,一旦遺失或損毀,將造成更大的麻煩。
合規性與法律問題:許多產業法規 (如 GDPR、HIPAA) 都要求企業對敏感資料進行加密保護。若未遵守這些法規,企業可能面臨高額罰款和法律訴訟。
本圖由 Google Gemini AI 生成
如何建立縱深防禦,安全管理密碼?
為了避免重蹈覆轍,我們建議你採取以下措施,從外部防線到內部管理,建立縱深防禦:
使用密碼管理器:這是比較簡單的方式。密碼管理器相關的軟體,可以將你的所有密碼儲存在一個加密的資料庫中,並透過一個主密碼進行保護。
啟用多因素驗證 (MFA):MFA 為你的帳戶提供了關鍵的額外安全保護層。即使密碼被盜,攻擊者也難以突破第二道防線。
安全地儲存還原碼:將還原碼視為最高權限的密碼,使用加密的方式儲存,例如存放在密碼管理器中,或是離線保存在安全的地方。
隨時關注並修補設備漏洞:密切關注如 SonicWall 等網路設備的官方安全通告,並在第一時間安裝更新和修補程式,鞏固你的網路邊界。
CyberQ 觀點
Huntress 的案例提醒我們資安防護是一條環環相扣的鎖鏈。攻擊者總會尋找最薄弱的一環,而這個弱點,往往不是什麼高深的零日漏洞,而是我們日常工作中最容易忽視的某些小習慣。外部漏洞可以被修補,但一個可能有風險的內部安全文化,就變成防疫、資安防禦的破口之一。檢視我們的密碼管理方式,避免只用文字檔紀錄密碼,至少要加密, 或採用安全且有口碑的密碼管理軟體。
首圖與配圖由 Google Gemini AI 生成,配圖部分由 ComfyUI 本地端模型生成
