安全入侵剖析：一份不可變備份如何阻止一場 5 分鐘的攻擊

安全入侵剖析：一份不可變備份如何阻止一場 5 分鐘的攻擊

現代的網絡攻擊是以分鐘，而非天數來計算。一道事故能否被控制、或演變成一場災難，其界線往往在資安團隊收到第一個警報前就已劃定。在近期一場 Black Hat 網絡研討會上，我們剖析了一次真實世界的安全入侵事件，其中高階攻擊者（後來被證實為威脅組織「絲綢颱風」Silk Typhoon）在數分鐘內攻陷了一個網絡。他們的攻擊迅速、無聲且有效 —— 直到他們撞上了一道無法攻破的防線：不可變性（Immutability）。

入侵時間軸

第 0-1 分鐘：初始入侵 事件始於一位支援部門的管理員點擊了一個欺騙性連結。該釣魚頁面悄悄地竊取了一個有效的會話權杖（Session Token），讓攻擊者得以像合法使用者一樣，繞過多重要素驗證和條件式存取策略。邊界防線在 60 秒內失守。

第 2 分鐘：權限提升 憑藉竊取的權杖，攻擊者利用一個零時差漏洞，在一個 Azure 叢集內的 Kubernetes Pod 中部署了網站後門。僅用一個指令，他們就竊取了 Microsoft 365 服務主體密鑰，立即獲得了橫跨數十個租戶的委派管理權限。整個過程沒有觸發任何警報。

攻擊者的劇本：摧毀安全網

在取得高階憑證後，攻擊者啟動了典型的反鑑識策略，旨在讓復原變得不可能。他們深知只要備份存在，受害者就有機會恢復。他們的目標簡單而殘酷：

• 清除稽核日誌：抹去他們活動的任何痕跡。
• 刪除備份：發送大量刪除指令，以清除所有還原點。

透過移除證據和安全網，他們的目標是讓該組織別無選擇，只能進行談判。

轉捩點：不可變之牆

大約在第五分鐘，攻擊行動宣告瓦解。當攻擊者以高權限下達的刪除指令觸及備份儲存庫時，系統的回應並非遵從指令，而是一個強制停止的訊息：錯誤 403，物件已鎖定（Error 403, Object Locked）。

該備份儲存層被設定了「一次寫入、多次讀取」（WORM）的不可變性，且在資料寫入的當下即被套用。這意味著一旦備份被寫入，在預設的保留期限到期前，任何人都無法對其進行修改或刪除 —— 無論其管理權限有多高。

攻擊者竊取的憑證變得毫無用處。他們就像撞上了一堵數位高牆，完全拒絕執行他們的指令。

事後結果：時間的恩賜

攻擊者無法摧毀備份，成為了這次攻擊鏈的關鍵斷點。雖然初始入侵以機器般的速度進行，但不可變性卻將事故應變的窗口從幾分鐘延長到了數天。在網絡安全領域，這猶如一生之久。

這份時間的恩賜，讓防禦方得以：

• 在沒有壓力的情況下調查入侵事件。
• 輪換所有被洩露的密鑰。
• 有信心地控制事故的影響範圍。
• 還原乾淨的資料並恢復商業營運。

團隊不再需要在洩密網站上與攻擊者談判，而是執行了一次受控的復原作業。

給資安領導者的關鍵啟示

這個案例研究提供了一個明確的教訓：您的備份是主要攻擊目標。一個意志堅決的攻擊者不會止步於您的邊界防線；他們會優先攻擊您的最後一道防線。

當備份真正具備不可變性時，即使是最強大的被盜憑證也無法將其摧毀。在這個真實世界的場景中，控制與災難之間的區別，完全取決於不可變性，這就是決定性的關鍵。