一、背景介紹

最近，安全研究人員揭露了一個名為 NightEagle（又名 APT-Q-95） 的高級持續性威脅（APT）組織。這個組織被觀察到利用 Microsoft Exchange 服務器中的零日漏洞鏈 進行攻擊，其主要目標是中國政府、國防和高科技領域的實體，目的在于情報收集。

NightEagle（APT-Q-95）的危險之處

NightEagle 在 2023 年就開始活躍，并以極快的速度更換網絡基礎設施，這表明其具有高度的隱蔽性和適應性。這個威脅行為者最引人關注的方面是他們對 Microsoft Exchange 服務器零日漏洞 的利用。

攻擊鏈的關鍵環節包括：

• 零日漏洞利用： NightEagle 成功利用了 Microsoft Exchange 服務器中的一個未公開的零日漏洞。這個漏洞允許攻擊者獲取 machineKey，進而未經授權地訪問 Exchange 服務器。

• 反序列化攻擊： 攻擊者利用獲得的 machineKey 對 Exchange 服務器進行反序列化，從而能夠將特洛伊木馬植入到符合特定 Exchange 版本的任何服務器上。

• 郵箱數據竊取： 一旦特洛伊木馬植入成功，攻擊者就可以遠程讀取任何用戶的郵箱數據，這對于目標組織來說意味著敏感信息的泄露和巨大的損失。

• 植入惡意工具： NightEagle 還被觀察到修改了開源的 Chisel 內網穿透工具的源代碼，硬編碼了執行參數、用戶名和密碼。他們利用此工具與特定的命令和控制（C2）地址建立 SOCKS 連接，并將其映射到 C2 主機的指定端口，以實現內網穿透和數據回傳。

• 通過 .NET 加載器投放木馬： 據稱，特洛伊木馬是通過一個 .NET 加載器投放的，該加載器又被植入到 Microsoft Exchange Server 的 Internet Information Server (IIS) 服務中。

NightEagle 攻擊的獨特之處在于：

• 對 machineKey 的利用： 獲取 machineKey 是 Exchange 攻擊中的一個關鍵步驟，因為它允許攻擊者繞過身份驗證并執行任意代碼或反序列化攻擊。

• 針對性強： 攻擊目標集中在高科技、芯片半導體、量子技術、人工智能和軍事等高價值行業，表明其具有明確的情報收集目的。

• 高隱蔽性： 快速更換網絡基礎設施以及利用零日漏洞，都顯示出其高超的規避檢測能力。

如何防范此類危險

防范像 NightEagle 這樣利用零日漏洞攻擊 Microsoft Exchange 服務器的威脅，需要采取多層次、主動和防御相結合的安全策略。

1.及時更新和打補丁：

• Microsoft Exchange Server 及其底層操作系統 (Windows Server) 必須始終保持最新。 即使是零日漏洞，廠商通常也會盡快發布緊急補丁。雖然零日漏洞在被發現之前沒有補丁可用，但保持系統最新可以減少其他已知漏洞的攻擊面。

• 啟用自動更新，或者建立嚴格的補丁管理流程，確保補丁一旦發布就能迅速部署。

2.實施多因素認證 (MFA)：

• 為所有可以訪問 Exchange 服務器的賬戶，尤其是管理員賬戶，強制實施 MFA (Multi-Factor Authentication)。即使攻擊者通過零日漏洞獲取了憑據，MFA 也能顯著增加其登錄和進一步操作的難度。

• 對于 Outlook Web App (OWA) 和 Exchange 控制面板 (ECP) 登錄，強烈建議使用 MFA。

3.強化 Exchange Server 配置：

• 限制遠程 PowerShell 訪問： 除非絕對必要，否則禁用非管理員用戶的遠程 PowerShell 訪問。這是 Microsoft 在過去應對 Exchange 漏洞時推薦的一項重要緩解措施。

• 網絡分段： 將 Exchange 服務器隔離在獨立的網絡段中，并實施嚴格的網絡訪問控制列表 (ACLs)。只允許必要的端口和協議訪問 Exchange 服務器。

• 最小權限原則： 確保所有用戶和服務的權限都限制在完成其任務所需的最低級別。

4.加強監控和日志分析：

• 日志審計： 持續監控 Exchange 服務器的日志，包括 IIS 日志、事件日志和 Exchange 自身的日志。尋找異常活動，例如：

  • 異常的 POST 請求。

  • Web Shell 的創建或修改。

  • 意外的進程啟動或文件創建。

  • 對 machineKey 的非授權訪問嘗試。

  • 異常的登錄嘗試或特權升級。

• 入侵檢測/防御系統 (IDS/IPS)： 部署 IDS/IPS 來檢測和阻止可疑的網絡流量和已知攻擊模式。

• 安全信息和事件管理 (SIEM) 系統： 將 Exchange 日志與其他安全設備（如防火墻、終端保護）的日志進行集中管理和關聯分析，以便更早地發現異常行為和潛在的入侵。

5.終端檢測與響應 (EDR) 和高級威脅防護：

• 部署具有行為分析和機器學習能力的 EDR 解決方案，以檢測和響應服務器上的惡意活動，包括零日攻擊和文件less攻擊。

• 使用下一代防病毒 (NGAV) 解決方案，它不僅依賴簽名，還能基于行為和啟發式方法識別未知威脅。

6.應急響應計劃：

• 制定并定期演練全面的應急響應計劃，包括識別、遏制、根除和恢復被攻擊系統的步驟。在零日攻擊發生時，一個完善的計劃可以最大程度地減少損失。

7.保持信息安全意識：

• 保持對最新威脅情報的關注，訂閱安全社區、廠商和研究機構的警報。當新的零日漏洞被披露時，及時了解其影響和緩解措施。

總而言之，NightEagle（APT-Q-95）對 Microsoft Exchange 服務器的攻擊揭示了零日漏洞的嚴重威脅。針對此類攻擊，組織必須采取積極主動的安全態勢，將最新的安全補丁、強大的認證機制、嚴格的配置管理以及持續的監控和快速響應能力結合起來，才能有效地保護其關鍵資產。

二、本地部署 Exchange Server 的防范策略

---

如果您的組織是本地部署了 Exchange Server，那么防范像 NightEagle 這樣利用零日漏洞的 APT 攻擊就顯得尤為關鍵。本地部署環境意味著您對服務器的安全性負有更多直接責任，需要更積極地管理和保護。

以下是針對本地部署 Exchange Server 的詳細防范措施，旨在幫助您全面提升安全性，抵御高級威脅：

1. 及時且嚴格的補丁管理

這是重中之重。針對本地 Exchange Server，這意味著您需要：

• 啟用自動更新（并驗證）：盡可能配置 Windows Server 和 Exchange Server 自動更新。但僅僅啟用還不夠，您還需要定期驗證補丁是否成功安裝，以及它們是否導致任何意外的服務中斷。

• 訂閱安全公告：密切關注 Microsoft 的官方安全公告和 Exchange 團隊博客。一旦有新的 Exchange 累積更新 (CU)、安全更新 (SU) 或緊急補丁發布，務必第一時間進行測試和部署。對于零日漏洞，Microsoft 通常會發布緊急帶外（out-of-band）補丁。

• 建立快速響應機制：針對 Exchange 的關鍵漏洞，建立一個團隊或流程，確保在補丁發布后的最短時間內進行評估、測試和部署。時間是抵御零日攻擊的關鍵因素。

2. 強化身份驗證與訪問控制

• 強制實施多因素認證 (MFA)：為所有可以訪問 Exchange Server 的賬戶，尤其是管理員賬戶、幫助臺賬戶以及所有可以通過 Outlook Web App (OWA) 或 Exchange 控制面板 (ECP) 登錄的賬戶，強制實施 MFA。這是防止未經授權訪問的最有效手段之一。即使憑據泄露，攻擊者也難以利用。

• 限制遠程 PowerShell 訪問：除非絕對必要，禁用非管理員用戶的遠程 PowerShell 訪問。通過 Set-User -RemotePowerShellEnabled $false 命令可以實現。僅允許極少數授權管理員通過安全工作站進行遠程管理。

• 最小權限原則：確保所有用戶賬戶和服務賬戶僅擁有完成其工作所需的最小權限。定期審查賬戶權限，移除不必要的特權。

3. 嚴格的網絡與系統配置

• 網絡分段與隔離：

  • 將 Exchange Server 部署在獨立的安全區域（DMZ 或專用的內部網絡段），與組織的其它內部網絡隔離。

  • 使用防火墻在 Exchange Server 和其他網絡之間實施嚴格的網絡訪問控制列表（ACLs）。只允許必要的端口（如 80、443、587、993、995 等）和協議（HTTP/S, SMTP, IMAP/S, POP3/S, MAPI over HTTP, RPC over HTTP）進出 Exchange 服務器。

  • 限制外部訪問：盡可能限制外部對 Exchange 的直接訪問。考慮使用 VPN、安全代理（如 Microsoft Entra Application Proxy）或 Web 應用防火墻 (WAF) 來作為外部訪問的門戶，進一步保護 Exchange 服務器。

• 禁用不必要的服務和功能：審查 Exchange Server 上運行的所有服務和組件，禁用任何不必要的功能。減少攻擊面。

• 限制 IIS 權限：確保 IIS 應用程序池和站點的權限配置正確，遵循最小權限原則。定期審查 IIS 配置。

• 操作系統硬化：對承載 Exchange Server 的 Windows Server 進行安全加固，包括：

  • 禁用不必要的端口。

  • 配置嚴格的防火墻規則。

  • 移除不必要的軟件。

  • 啟用并配置本地安全策略（例如，賬戶鎖定策略，密碼復雜性要求）。

4. 強大的監控與日志審計

• 集中式日志管理 (SIEM)：將 Exchange Server 的所有關鍵日志（包括：IIS 日志、Exchange 統一日志記錄、Windows 事件日志（安全、系統、應用程序）、Active Directory 域控制器日志）發送到 SIEM (Security Information and Event Management) 系統。

  • 設置告警規則：在 SIEM 中配置告警規則，用于檢測異常活動，例如：

    • 異常的登錄嘗試（如失敗次數過多、來自非信任地理位置）。

    • 對敏感文件或目錄的訪問。

    • 異常的進程啟動或服務創建。

    • Web Shell 或其他惡意文件的創建或修改。

    • machineKey 相關日志條目。

    • 對 nsswitch.conf 或類似敏感配置文件的異常修改。

    • 來自 Exchange 服務器的異常出站連接。

• 行為分析：利用安全工具對 Exchange 服務器上的用戶和實體行為進行分析，識別偏離基線的異常行為。

• 網絡流量監控 (NDR)：部署網絡檢測與響應 (NDR) 工具，監控進出 Exchange 服務器的網絡流量，識別潛在的惡意活動，如 C2 通信、數據滲漏嘗試。

5. 高級威脅防護與應急響應

• 部署 EDR/NGAV：在 Exchange Server 上部署高性能的終端檢測與響應 (EDR) 和下一代防病毒 (NGAV) 解決方案。這些工具能夠基于行為分析和機器學習來檢測和阻止零日攻擊和文件less攻擊。

• 定期漏洞掃描與滲透測試：定期對 Exchange Server 進行外部和內部漏洞掃描。聘請專業的安全團隊進行滲透測試，模擬攻擊者行為，發現潛在的安全弱點。

• 制定并演練應急響應計劃：

  • 明確當 Exchange Server 被入侵時，誰負責什么，以及采取什么步驟。

  • 計劃應包括：識別（如何發現入侵）、遏制（如何阻止攻擊蔓延）、根除（如何清除惡意軟件和后門）、恢復（如何恢復服務）和事后分析。

  • 定期進行桌面演練和實戰演練，確保團隊熟悉流程。

• 數據備份與恢復：實施可靠的 Exchange 數據備份策略，并定期測試恢復過程。在發生勒索軟件或其他數據破壞攻擊時，這是確保業務連續性的最后一道防線。

6. 考慮遷移或混合部署

如果您的組織資源允許，長期來看，可以考慮將部分或全部郵箱遷移到 Microsoft 365 (Exchange Online)。Exchange Online 具有以下優勢：

• 由 Microsoft 負責安全補丁和基礎架構管理：Microsoft 會持續監控和修補其云服務，為您分擔了大量安全管理負擔。

• 內置高級威脅防護：Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365 提供了強大的反垃圾郵件、反惡意軟件和高級釣魚防護功能。

• 強大的合規性與數據安全功能。

即使是混合部署，也能將一部分風險轉移到云端，減輕本地 Exchange 的壓力。

針對本地部署的 Exchange Server，采取多層次、深度防御的策略至關重要。這不僅包括技術措施，還包括流程和人員的安全意識培養。希望這些詳細的防范措施能幫助您更好地保護您的 Exchange 環境。