一、背景介绍

最近，安全研究人员揭露了一个名为 NightEagle（又名 APT-Q-95） 的高级持续性威胁（APT）组织。这个组织被观察到利用 Microsoft Exchange 服务器中的零日漏洞链 进行攻击，其主要目标是中国政府、国防和高科技领域的实体，目的在于情报收集。

NightEagle（APT-Q-95）的危险之处

NightEagle 在 2023 年就开始活跃，并以极快的速度更换网络基础设施，这表明其具有高度的隐蔽性和适应性。这个威胁行为者最引人关注的方面是他们对 Microsoft Exchange 服务器零日漏洞 的利用。

攻击链的关键环节包括：

• 零日漏洞利用： NightEagle 成功利用了 Microsoft Exchange 服务器中的一个未公开的零日漏洞。这个漏洞允许攻击者获取 machineKey，进而未经授权地访问 Exchange 服务器。

• 反序列化攻击： 攻击者利用获得的 machineKey 对 Exchange 服务器进行反序列化，从而能够将特洛伊木马植入到符合特定 Exchange 版本的任何服务器上。

• 邮箱数据窃取： 一旦特洛伊木马植入成功，攻击者就可以远程读取任何用户的邮箱数据，这对于目标组织来说意味着敏感信息的泄露和巨大的损失。

• 植入恶意工具： NightEagle 还被观察到修改了开源的 Chisel 内网穿透工具的源代码，硬编码了执行参数、用户名和密码。他们利用此工具与特定的命令和控制（C2）地址建立 SOCKS 连接，并将其映射到 C2 主机的指定端口，以实现内网穿透和数据回传。

• 通过 .NET 加载器投放木马： 据称，特洛伊木马是通过一个 .NET 加载器投放的，该加载器又被植入到 Microsoft Exchange Server 的 Internet Information Server (IIS) 服务中。

NightEagle 攻击的独特之处在于：

• 对 machineKey 的利用： 获取 machineKey 是 Exchange 攻击中的一个关键步骤，因为它允许攻击者绕过身份验证并执行任意代码或反序列化攻击。

• 针对性强： 攻击目标集中在高科技、芯片半导体、量子技术、人工智能和军事等高价值行业，表明其具有明确的情报收集目的。

• 高隐蔽性： 快速更换网络基础设施以及利用零日漏洞，都显示出其高超的规避检测能力。

如何防范此类危险

防范像 NightEagle 这样利用零日漏洞攻击 Microsoft Exchange 服务器的威胁，需要采取多层次、主动和防御相结合的安全策略。

1.及时更新和打补丁：

• Microsoft Exchange Server 及其底层操作系统 (Windows Server) 必须始终保持最新。 即使是零日漏洞，厂商通常也会尽快发布紧急补丁。虽然零日漏洞在被发现之前没有补丁可用，但保持系统最新可以减少其他已知漏洞的攻击面。

• 启用自动更新，或者建立严格的补丁管理流程，确保补丁一旦发布就能迅速部署。

2.实施多因素认证 (MFA)：

• 为所有可以访问 Exchange 服务器的账户，尤其是管理员账户，强制实施 MFA (Multi-Factor Authentication)。即使攻击者通过零日漏洞获取了凭据，MFA 也能显著增加其登录和进一步操作的难度。

• 对于 Outlook Web App (OWA) 和 Exchange 控制面板 (ECP) 登录，强烈建议使用 MFA。

3.强化 Exchange Server 配置：

• 限制远程 PowerShell 访问： 除非绝对必要，否则禁用非管理员用户的远程 PowerShell 访问。这是 Microsoft 在过去应对 Exchange 漏洞时推荐的一项重要缓解措施。

• 网络分段： 将 Exchange 服务器隔离在独立的网络段中，并实施严格的网络访问控制列表 (ACLs)。只允许必要的端口和协议访问 Exchange 服务器。

• 最小权限原则： 确保所有用户和服务的权限都限制在完成其任务所需的最低级别。

4.加强监控和日志分析：

• 日志审计： 持续监控 Exchange 服务器的日志，包括 IIS 日志、事件日志和 Exchange 自身的日志。寻找异常活动，例如：

  • 异常的 POST 请求。

  • Web Shell 的创建或修改。

  • 意外的进程启动或文件创建。

  • 对 machineKey 的非授权访问尝试。

  • 异常的登录尝试或特权升级。

• 入侵检测/防御系统 (IDS/IPS)： 部署 IDS/IPS 来检测和阻止可疑的网络流量和已知攻击模式。

• 安全信息和事件管理 (SIEM) 系统： 将 Exchange 日志与其他安全设备（如防火墙、终端保护）的日志进行集中管理和关联分析，以便更早地发现异常行为和潜在的入侵。

5.终端检测与响应 (EDR) 和高级威胁防护：

• 部署具有行为分析和机器学习能力的 EDR 解决方案，以检测和响应服务器上的恶意活动，包括零日攻击和文件less攻击。

• 使用下一代防病毒 (NGAV) 解决方案，它不仅依赖签名，还能基于行为和启发式方法识别未知威胁。

6.应急响应计划：

• 制定并定期演练全面的应急响应计划，包括识别、遏制、根除和恢复被攻击系统的步骤。在零日攻击发生时，一个完善的计划可以最大程度地减少损失。

7.保持信息安全意识：

• 保持对最新威胁情报的关注，订阅安全社区、厂商和研究机构的警报。当新的零日漏洞被披露时，及时了解其影响和缓解措施。

总而言之，NightEagle（APT-Q-95）对 Microsoft Exchange 服务器的攻击揭示了零日漏洞的严重威胁。针对此类攻击，组织必须采取积极主动的安全态势，将最新的安全补丁、强大的认证机制、严格的配置管理以及持续的监控和快速响应能力结合起来，才能有效地保护其关键资产。

二、本地部署 Exchange Server 的防范策略

---

如果您的组织是本地部署了 Exchange Server，那么防范像 NightEagle 这样利用零日漏洞的 APT 攻击就显得尤为关键。本地部署环境意味着您对服务器的安全性负有更多直接责任，需要更积极地管理和保护。

以下是针对本地部署 Exchange Server 的详细防范措施，旨在帮助您全面提升安全性，抵御高级威胁：

1. 及时且严格的补丁管理

这是重中之重。针对本地 Exchange Server，这意味着您需要：

• 启用自动更新（并验证）：尽可能配置 Windows Server 和 Exchange Server 自动更新。但仅仅启用还不够，您还需要定期验证补丁是否成功安装，以及它们是否导致任何意外的服务中断。

• 订阅安全公告：密切关注 Microsoft 的官方安全公告和 Exchange 团队博客。一旦有新的 Exchange 累积更新 (CU)、安全更新 (SU) 或紧急补丁发布，务必第一时间进行测试和部署。对于零日漏洞，Microsoft 通常会发布紧急带外（out-of-band）补丁。

• 建立快速响应机制：针对 Exchange 的关键漏洞，建立一个团队或流程，确保在补丁发布后的最短时间内进行评估、测试和部署。时间是抵御零日攻击的关键因素。

2. 强化身份验证与访问控制

• 强制实施多因素认证 (MFA)：为所有可以访问 Exchange Server 的账户，尤其是管理员账户、帮助台账户以及所有可以通过 Outlook Web App (OWA) 或 Exchange 控制面板 (ECP) 登录的账户，强制实施 MFA。这是防止未经授权访问的最有效手段之一。即使凭据泄露，攻击者也难以利用。

• 限制远程 PowerShell 访问：除非绝对必要，禁用非管理员用户的远程 PowerShell 访问。通过 Set-User -RemotePowerShellEnabled $false 命令可以实现。仅允许极少数授权管理员通过安全工作站进行远程管理。

• 最小权限原则：确保所有用户账户和服务账户仅拥有完成其工作所需的最小权限。定期审查账户权限，移除不必要的特权。

3. 严格的网络与系统配置

• 网络分段与隔离：

  • 将 Exchange Server 部署在独立的安全区域（DMZ 或专用的内部网络段），与组织的其它内部网络隔离。

  • 使用防火墙在 Exchange Server 和其他网络之间实施严格的网络访问控制列表（ACLs）。只允许必要的端口（如 80、443、587、993、995 等）和协议（HTTP/S, SMTP, IMAP/S, POP3/S, MAPI over HTTP, RPC over HTTP）进出 Exchange 服务器。

  • 限制外部访问：尽可能限制外部对 Exchange 的直接访问。考虑使用 VPN、安全代理（如 Microsoft Entra Application Proxy）或 Web 应用防火墙 (WAF) 来作为外部访问的门户，进一步保护 Exchange 服务器。

• 禁用不必要的服务和功能：审查 Exchange Server 上运行的所有服务和组件，禁用任何不必要的功能。减少攻击面。

• 限制 IIS 权限：确保 IIS 应用程序池和站点的权限配置正确，遵循最小权限原则。定期审查 IIS 配置。

• 操作系统硬化：对承载 Exchange Server 的 Windows Server 进行安全加固，包括：

  • 禁用不必要的端口。

  • 配置严格的防火墙规则。

  • 移除不必要的软件。

  • 启用并配置本地安全策略（例如，账户锁定策略，密码复杂性要求）。

4. 强大的监控与日志审计

• 集中式日志管理 (SIEM)：将 Exchange Server 的所有关键日志（包括：IIS 日志、Exchange 统一日志记录、Windows 事件日志（安全、系统、应用程序）、Active Directory 域控制器日志）发送到 SIEM (Security Information and Event Management) 系统。

  • 设置告警规则：在 SIEM 中配置告警规则，用于检测异常活动，例如：

    • 异常的登录尝试（如失败次数过多、来自非信任地理位置）。

    • 对敏感文件或目录的访问。

    • 异常的进程启动或服务创建。

    • Web Shell 或其他恶意文件的创建或修改。

    • machineKey 相关日志条目。

    • 对 nsswitch.conf 或类似敏感配置文件的异常修改。

    • 来自 Exchange 服务器的异常出站连接。

• 行为分析：利用安全工具对 Exchange 服务器上的用户和实体行为进行分析，识别偏离基线的异常行为。

• 网络流量监控 (NDR)：部署网络检测与响应 (NDR) 工具，监控进出 Exchange 服务器的网络流量，识别潜在的恶意活动，如 C2 通信、数据渗漏尝试。

5. 高级威胁防护与应急响应

• 部署 EDR/NGAV：在 Exchange Server 上部署高性能的终端检测与响应 (EDR) 和下一代防病毒 (NGAV) 解决方案。这些工具能够基于行为分析和机器学习来检测和阻止零日攻击和文件less攻击。

• 定期漏洞扫描与渗透测试：定期对 Exchange Server 进行外部和内部漏洞扫描。聘请专业的安全团队进行渗透测试，模拟攻击者行为，发现潜在的安全弱点。

• 制定并演练应急响应计划：

  • 明确当 Exchange Server 被入侵时，谁负责什么，以及采取什么步骤。

  • 计划应包括：识别（如何发现入侵）、遏制（如何阻止攻击蔓延）、根除（如何清除恶意软件和后门）、恢复（如何恢复服务）和事后分析。

  • 定期进行桌面演练和实战演练，确保团队熟悉流程。

• 数据备份与恢复：实施可靠的 Exchange 数据备份策略，并定期测试恢复过程。在发生勒索软件或其他数据破坏攻击时，这是确保业务连续性的最后一道防线。

6. 考虑迁移或混合部署

如果您的组织资源允许，长期来看，可以考虑将部分或全部邮箱迁移到 Microsoft 365 (Exchange Online)。Exchange Online 具有以下优势：

• 由 Microsoft 负责安全补丁和基础架构管理：Microsoft 会持续监控和修补其云服务，为您分担了大量安全管理负担。

• 内置高级威胁防护：Exchange Online Protection (EOP) 和 Microsoft Defender for Office 365 提供了强大的反垃圾邮件、反恶意软件和高级钓鱼防护功能。

• 强大的合规性与数据安全功能。

即使是混合部署，也能将一部分风险转移到云端，减轻本地 Exchange 的压力。

针对本地部署的 Exchange Server，采取多层次、深度防御的策略至关重要。这不仅包括技术措施，还包括流程和人员的安全意识培养。希望这些详细的防范措施能帮助您更好地保护您的 Exchange 环境。