捷克網絡安全軟件製造商Avast近期公開了一起影響其內部網絡安全的事件。

在發佈的一份聲明中，該公司表示，有外部攻擊者入侵了公司內部網絡，而攻擊者的目的是往CCleaner軟件中植入後門，就像2017年發生的CCleaner安全事件一樣。

Avast表示，攻擊者之所以能成功入侵，是因為一名員工的VPN登錄憑據被攻擊者竊取，同時這個帳戶缺少多因素身份驗證，使得攻擊者直接登錄了內部網絡。

此次入侵是在今年9月23日被發現的，同時Avast也表示，有證據表明，攻擊者早在5月14日就開始對Avast的網絡進行了試探。

可疑活動時間表

2019年5月14日凌晨2:00

2019年5月15日凌晨4:36

2019年5月15日晚上11:06

2019年7月24日下午3:35

2019年7月24日下午3:45

2019年9月11日下午3:20

2019年10月4日上午11:57

根據Avast首席信息安全官Jaya Baloo的說法：“被竊取的員工身份是沒有域管理權限的，不過攻擊者在進入網絡後通過非法提權成功獲得了域管理員權限。”

Baloo告訴ZDNet網站，正是這種異常的權限提升使公司注意到了內部網絡的惡意活動。

工作人員最終在Avast的ATA面板中裡找到了一系列安全告警，這些警報之前都被工程師們忽略了，以為是誤報。值得一提的是，ATA是Microsoft Advanced Threat Analytics（微軟高級威脅分析系統）的縮寫，這是微軟面向企業銷售的一款內部網絡流量分析系統，旨在保護內部網絡的安全。

警報顯示，攻擊者控制的帳戶複製了Avast的活動目錄，這是一種負責管理網絡環境的集中式目錄管理服務。

AVAST讓黑客在內網自由活動，以便確定意圖

Baloo說，Avast公司在發現入侵者後，並沒有第一時間封禁帳戶，而是故意讓其隨意活動，觀察他們的行為。

這種情況一直持續到10月15日，隨後Avast公司對以前發佈的CCleaner版本進行了安全審核，並推出了最新版本。

同時，Avast還更改了用於對CCleaner更新進行簽名的數字證書，撤銷了以前用於簽署舊版本CCleaner的證書。這樣做是為了防止攻擊者使用舊證書來偽造官方軟件。

最後一步則是重置所有員工的VPN登錄憑證。

Baloo表示：“在採取了以上所有安全措施後，我們有信心表示CCleaner用戶是安全的。”

該殺毒軟件製造商表示，目前正在與捷克情報機構、當地捷克警察的網絡安全部門以及一個外部取證團隊一起調查該事件。

Avast還表示，目前沒有證據表明此次攻擊和2017年發生的入侵是由同一個黑客組織進行的。不過該公司還是指出，這次入侵是由一位經驗豐富的攻擊者實施的。

“從我們目前收集到的信息來看，這是一起非常複雜的攻擊事件，攻擊者非常謹慎，避免留下任何痕跡。”

目前調查仍在進行中，該公司承諾會在後續及時通報調查進度。

2017年CCleaner黑客事件發生在Avast收購CCleaner背後的公司Piriform之前。黑客通過TeamViewer入侵了Piriform的網絡，並往CCleaner中植入了後門。據稱，只有在CCleaner被安裝到某些大公司的網絡中時，才會進行第二階段的攻擊。目標包括思科、微軟、谷歌、NEC等。Avast表示，2017年有227萬用戶下載了存在後門的CCleaner軟件；1646536臺計算機受到了第一階段的攻擊——掃描目標信息；但只有40臺電腦遭受了第二階段的攻擊——安裝一個強大的後門。

Avast對ZDNet表示，雖然CCleaner屢次成為攻擊者目標，但該公司沒有計劃停止開發CCleaner。

本文由白帽彙整理並翻譯，不代表白帽匯任何觀點和立場

來源：https://nosec.org/home/detail/3072.html

原文：https://www.zdnet.com/article/avast-says-hackers-breached-internal-network-through-compromised-vpn-profile/

白帽匯從事信息安全，專注於安全大數據、企業威脅情報。

公司產品：FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。

為您提供：網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。