作者:t0data,本文主要以敏感文件泄露为例,通过分析事件溯源的过程,阐述文件泄露的可能途径和常见管理手段。
开工大吉!
新年上班第1天,接到朋友电话求助,说是他们公司有一份客户报价单在网上传播。朋友公司是做电商的,主要面向中小型企业,提供批发业务。此次泄露的报价单,主要是企业面对不同层级的用户提供的报价明细,涉及商业机密。
0x01 溯源过程
根据朋友提供的信息,首先通过搜索引擎搜索,发现一共有4家网站提供此文档下载。 将这4家网站的文档关键信息进行整理和提取,清单列表如下(考虑到敏感信息的真实性,此处做了处理):
| 序号 | 上传账号 | 上传时间 | 下载链接 |
| ----- | :-------- | ---------: | :------: |
| 0 | userA |2017-12-06 | url1 |
| 1 | userB |2017-10-28 | url2 |
| 2 | userC |2018-04-15 | url3 |
| 3 | userD |2018-06-17 | url4 |
对上述列表清单中的4个用户账号,进行社工并分析。结果显示这4个用户之间毫无关联关系,相互独立。事件到此似乎陷入了一个死胡同,这4个用户账号纯属文档分享类账号,与朋友公司没有业务往来,也就是说他们没有直接获取文档的途经。在整个文档传播的过程中,可能是其中一个环节,充当着最终呈现给网络下载用户的那一个。
为了确定文档的传播源,对其中的几个文档进行下载,查看文档属性。发现所有文档的创建时间,均为2017年8月份,到此为此,可以基本推断,此文档存在统一传播源。但可惜的是,文档的创建属主均为administrator,无法通过创建人PC的名称找到传播源的那个人。这是我朋友也反馈说,他们公司的DLP是2018年10月份才部署的,查不到此文档的传播日志信息。
似乎又一次陷入了死胡同,为了找到突破口,笔者出去抽一根烟,透透气,顺便梳理一下思路,最终通过对文档的传播路径分析,找到了突破口。
我们都知道所有互联网上的文档传播,肯定有它的初始原点。而本例中,在网络上公开传播的4家网站,其上传时间均不同,我们大体可以推测,存在某一个时间点的共同传播源。就目前的互联网产品来看,普通人文档泄露的最常见路径,就是网盘/云备份。于是笔者通过网盘聚合工具进行搜索,最终发现两条记录均包含此文档,另外还有此文档相关联的其他文档,上传时间为2017年9月份,初步判断此网盘为第一传播源。
此网盘的拥有者是一个ID叫“网络科技”的人,其头像是一个景区风景图,接着通过图像搜索,幸运的是找到了一个似乎跟ID相互关联的、模糊的个人照片头像。把此头像发给朋友,朋友说,似乎是他们公司之前的离职员工王某。接着对王某进行社工分析,发现其工作经历与网盘中所分享的文件夹存在对应关系。例如:王某曾在a公司工作过,网盘中有a公司的文档,且文档分享的时间与其在a公司工作时间基本一致;王某曾在b公司工作,网盘中有b公司的文档及文档分享的时间与其在b公司工作时间基本一致。到此基本可以判断,王某有分享工作文档的习惯,且此次传播的文档,为王某所为。
0x02处理措施
- 让朋友立即联系王某,对于网盘中分享的文档进行删除。并告知其安全风险,禁止上传此类敏感的文档,对于电脑中保存的历史文档进行清理,如果再次上传发生此类事件,要承担法律风险。
- 通过法务途径,走版权申诉,要求提供文档下载的四家网站,将此文档进行删除下线。
- 加强内部员工的安全意识宣贯,明确文档传播的红线和惩罚措施。加强DLP监控,严惩和杜绝此类行为发生。
- 加强域控,对于企业办公终端网络的接入,所有电脑的用户名,必须和邮箱一致。
0x03拓展知识
对于敏感文档的传播、治理,一直是企业信息安全工作中的一个难题。网络隔离和DLP方案,有其天生的缺陷。在考虑治理方案时,除了加强基础网络设施建设和安全管控手段外,对互联网上可能传播的途径进行监控,是一项必不可少的工作,尤其是当下网络边界越来越模糊的情况下。对于大多数互联网企业来说,监控Github通常都会考虑,很多情况下会忽略网盘的监控。这里推荐给大家两款工具,供大家使用。
- Github监控工具: 美丽联合的止介大佬分享的GSIL (https://github.com/FeeiCN/GSIL) 从安装环境要求、配置功能实现、部署难易程度都推荐入手。
- 网盘泄露监控: https://github.com/cgpllx/wangpan_and_BT_search https://github.com/Jackence/yunpansearch 考虑到网盘API的不稳定性,使用者可以基于此代码进行定制。