由一则敏感文档泄露事件溯源说起

释放双眼,带上耳机,听听看~!

开工大吉!

新年上班第1天,接到朋友电话求助,说是他们公司有一份客户报价单在网上传播。朋友公司是做电商的,主要面向中小型企业,提供批发业务。此次泄露的报价单,主要是企业面对不同层级的用户提供的报价明细,涉及商业机密。

0x01 溯源过程

根据朋友提供的信息,首先通过搜索引擎搜索,发现一共有4家网站提供此文档下载。

将这4家网站的文档关键信息进行整理和提取,清单列表如下(考虑到敏感信息的真实性,此处做了处理):

序号  上传账号   上传时间  下载链接

1   userA  2017-12-06 url1

2  userB   2017-10-28  url2

3  userC  2018-04-15   url3

4  userD  2018-06-17  url4

对上述列表清单中的4个用户账号,进行社工并分析。结果显示这4个用户之间毫无关联关系,相互独立。事件到此似乎陷入了一个死胡同,这4个用户账号纯属文档分享类账号,与朋友公司没有业务往来,也就是说他们没有直接获取文档的途经。在整个文档传播的过程中,可能是其中一个环节,充当着最终呈现给网络下载用户的那一个。

为了确定文档的传播源,对其中的几个文档进行下载,查看文档属性。发现所有文档的创建时间,均为2017年8月份,到此为此,可以基本推断,此文档存在统一传播源。但可惜的是,文档的创建属主均为administrator,无法通过创建人PC的名称找到传播源的那个人。这是我朋友也反馈说,他们公司的DLP是2018年10月份才部署的,查不到此文档的传播日志信息。

似乎又一次陷入了死胡同,为了找到突破口,笔者出去抽一根烟,透透气,顺便梳理一下思路,最终通过对文档的传播路径分析,找到了突破口。

我们都知道所有互联网上的文档传播,肯定有它的初始原点。而本例中,在网络上公开传播的4家网站,其上传时间均不同,我们大体可以推测,存在某一个时间点的共同传播源。就目前的互联网产品来看,普通人文档泄露的最常见路径,就是网盘/云备份。于是笔者通过网盘聚合工具进行搜索,最终发现两条记录均包含此文档,另外还有此文档相关联的其他文档,上传时间为2017年9月份,初步判断此网盘为第一传播源。

此网盘的拥有者是一个ID叫“网络科技”的人,其头像是一个景区风景图,接着通过图像搜索,幸运的是找到了一个似乎跟ID相互关联的、模糊的个人照片头像。把此头像发给朋友,朋友说,似乎是他们公司之前的离职员工王某。接着对王某进行社工分析,发现其工作经历与网盘中所分享的文件夹存在对应关系。例如:王某曾在a公司工作过,网盘中有a公司的文档,且文档分享的时间与其在a公司工作时间基本一致;王某曾在b公司工作,网盘中有b公司的文档及文档分享的时间与其在b公司工作时间基本一致。到此基本可以判断,王某有分享工作文档的习惯,且此次传播的文档,为王某所为。

0x02处理措施

1.让朋友立即联系王某,对于网盘中分享的文档进行删除。并告知其安全风险,禁止上传此类敏感的文档,对于电脑中保存的历史文档进行清理,如果再次上传发生此类事件,要承担法律风险。

2.通过法务途径,走版权申诉,要求提供文档下载的四家网站,将此文档进行删除下线。

3.加强内部员工的安全意识宣贯,明确文档传播的红线和惩罚措施。加强DLP监控,严惩和杜绝此类行为发生。

4.加强域控,对于企业办公终端网络的接入,所有电脑的用户名,必须和邮箱一致。

0x03拓展知识

对于敏感文档的传播、治理,一直是企业信息安全工作中的一个难题。网络隔离和DLP方案,有其天生的缺陷。在考虑治理方案时,除了加强基础网络设施建设和安全管控手段外,对互联网上可能传播的途径进行监控,是一项必不可少的工作,尤其是当下网络边界越来越模糊的情况下。对于大多数互联网企业来说,监控Github通常都会考虑,很多情况下会忽略网盘的监控。这里推荐给大家两款工具,供大家使用。

1.Github监控工具:

美丽联合的止介大佬分享的GSIL

(https://github.com/FeeiCN/GSIL)

从安装环境要求、配置功能实现、部署难易程度都推荐入手。

2.网盘泄露监控:

https://github.com/cgpllx/wangpan_and_BT_search

https://github.com/Jackence/yunpansearch

考虑到网盘API的不稳定性,使用者可以基于此代码进行定制。

__________________________________________________________

声明:本文章来自团队成员t0data投稿,仅供安全爱好者研究学习,对于用于非法途径的行为,作者不承担任何责任。

想加入我们的微信群,目前聚集了来自全球信息安全公司的CEO,安全部门主管,技术总监,信安创业者,网络安全专家,安全实验室负责人,公司HR,在这里你将获得高质量的技术交流空间,更多的内推高薪信息安全岗位,更多与安全大咖们面对面交流的机会。可以扫码添加我的微信,需提供真实有效的公司名称+姓名,验证通过后可加入···

也欢迎大家加入QQ群:594479150(国内专业度最高的互联网安全交流平台之一,你关心的、你想要的这里都可以满足你)

人已赞赏
安全工具

Reverse-缓冲区溢出

2019-10-11 17:04:58

安全工具

安全大“实话”

2019-10-11 17:05:05

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索