欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

十一個(gè)步驟讓你了解黑客是如何一步步攻擊我們的 防御措施

  發(fā)布時(shí)間:2016-08-29 14:13:48   作者:佚名   我要評(píng)論
現(xiàn)在是互聯(lián)網(wǎng)時(shí)代,大家每時(shí)每刻都在與網(wǎng)絡(luò)打交道,但是卻有一些黑客做出危害信息安全,盜取他人或企業(yè)的數(shù)據(jù)的事,一起來看看黑客是如何一步步攻擊我們的

黑客最早源自英文hacker,原指熱心于計(jì)算機(jī)技術(shù),水平高超的電腦專家,尤其是程序設(shè)計(jì)人員。但如今,黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙.

安全公司 Aorato 的一項(xiàng)新研究顯示,個(gè)人可識(shí)別信息(PII)和信用卡及借記卡數(shù)據(jù)在今年年初的 Target 數(shù)據(jù)泄露實(shí)踐中遭到大規(guī)模偷竊后,該公司的 PCI 合規(guī)新計(jì)劃已經(jīng)大幅降低了損害的范圍。

利用所有可用的公開報(bào)告,Aorato 的首席研究員 Tal Aorato ‘ery 及其團(tuán)隊(duì)記錄了攻擊者用來攻擊 Target 的所有工具,并創(chuàng)建了一個(gè)循序漸進(jìn)的過程,來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從 PoS 系統(tǒng)抓取信用卡數(shù)據(jù)的。關(guān)于事故的細(xì)節(jié)依舊模糊,但是 Be’ery 認(rèn)為,有必要了解整個(gè)攻擊過程,因?yàn)楹诳蛡円廊淮嬖凇?

跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)

而 Be’ery 承認(rèn),安全公司 Aorato 對(duì)于一些細(xì)節(jié)的描述可能是不正確的,但是他確信關(guān)于 Target 網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。

“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”,Be’ery 說。有許多報(bào)告聲稱,在這個(gè)事件中涌現(xiàn)了很多攻擊工具,但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭,卻不知道恐龍到底長(zhǎng)什么樣子,所幸的是我們知道其他恐龍的模樣。利用我們的知識(shí),我們可以重建這種恐龍模型。

2013 年 12 月,正值一年當(dāng)中最繁忙購物季的中期,關(guān)于 Target 數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流,日益清晰的是攻擊者已經(jīng)獲取了 7000 萬消費(fèi)者的個(gè)人身份信息以及 4000 萬信用卡和借記卡的數(shù)據(jù)信息。Target 的 CIO 和董事長(zhǎng)、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱,預(yù)計(jì)經(jīng)濟(jì)損失可能達(dá)到 10 億美元。

了解上述事件的大多數(shù)人都知道它始于竊取 Target 供應(yīng)商的信用憑證。但攻擊者是如何從 Target 網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)?Be’ery 認(rèn)為,攻擊者深思熟慮采取了 11 個(gè)步驟。

第一步:安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了 Target 空調(diào)供應(yīng)商 Fazio Mechanical Services 的憑證。根據(jù)首先打破合規(guī)故事的 Kreson Security,襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動(dòng)。

第二步:利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問 Target 致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中,F(xiàn)azio Mechanical Services 的主席和持有人 Ross

Fazio 表示,該公司不對(duì) Target 的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與 Target 網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項(xiàng)目管理的。

這個(gè) Web 應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在 Target 內(nèi)部網(wǎng)絡(luò) Web 應(yīng)用程序進(jìn)入 Target,應(yīng)用程序還是不允許任意命令執(zhí)行,而這將在攻擊過程中是十分緊迫的。

第三步:開發(fā) Web 程序漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery 指出了一個(gè)公開報(bào)告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù) Aorato 的報(bào)告,當(dāng)所有其他已知的攻擊工具文件是 Windows 可執(zhí)行文件時(shí),這就是一個(gè)在 Web 應(yīng)用程序內(nèi)運(yùn)行腳本的 PHP 文件。

“這個(gè)文件表明,攻擊者能夠通過利 Web 應(yīng)用程序中的一個(gè)漏洞上傳 PHP 文件,”Aorato 報(bào)告顯示,原因可能 Web 應(yīng)用程序有一個(gè)用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在 Web 應(yīng)用程序中的事故,始終沒有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。

惡意腳本可能是一個(gè)“Web 殼”,一個(gè)基 Web 并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會(huì)在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意,”他解釋說。他們?cè)诤谑猩铣鍪哿诵庞每ㄌ?hào)碼,不久之后 Target 就被通知數(shù)據(jù)泄露。

第四步:細(xì)心偵查

此時(shí),攻擊者不得不放慢腳步,來細(xì)心做一些偵察。他們有能力運(yùn)行任意操作系統(tǒng)命令,但進(jìn)一步的行動(dòng)還需要 Target 內(nèi)部網(wǎng)絡(luò)的情報(bào),所以他們需要找到存儲(chǔ)客戶信息和信用卡數(shù)據(jù)的服務(wù)器。

目標(biāo)是 Target 的活動(dòng)目錄,這包括數(shù)據(jù)域的所有成員:用戶、計(jì)算機(jī)和服務(wù)。他們能夠利用內(nèi)部 Windows 工具和 LDAP 協(xié)議查詢活動(dòng)目錄。Aorato 相信,攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù),然后通過查看服務(wù)器的名稱來推斷出每個(gè)服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來找到 PoS-related 機(jī)器的過程。利用攻擊目標(biāo)的名字,Aorato 認(rèn)為,攻擊者將隨后獲得查詢 DNS 服務(wù)器的 IP 地址。

第五步:竊取域管理員訪問令牌

至此,Be’ery 認(rèn)為,攻擊者已經(jīng)確定他們的目標(biāo),但他們需要訪問權(quán)限尤其是域管理員權(quán)限來幫助他們。

基于前 Target 安全團(tuán)隊(duì)成員提供給記者 Brian Krebs 的信息,Aorato 認(rèn)為,攻擊者使用一個(gè)名為“Pass-the-Hash”的攻擊技術(shù)來獲得一個(gè) NT 令牌,讓他們模仿活動(dòng)目錄管理員——至少直到實(shí)際的管理員去改變其密碼。

隨著這種技術(shù)的深入證實(shí),Aorato 指向了工具的使用,包括用于從內(nèi)存中登錄會(huì)話和 NTLM 憑證的滲透測(cè)試工具、提取域賬戶 NT / LM 歷史的散列密碼。

第六步:新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員,然而一旦受害者改變了密碼,或者當(dāng)試圖訪問一些需要顯示使用密碼的服務(wù)(如遠(yuǎn)程桌面)時(shí),他就成為無效的。那么,下一步是創(chuàng)建一個(gè)新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權(quán)來創(chuàng)建一個(gè)新帳戶,并將它添加到域管理組,將帳戶特權(quán)提供給攻擊者,同時(shí)也給攻擊者控制密碼的機(jī)會(huì)。

Be’ery 說,這是攻擊者隱藏在普通場(chǎng)景中的另一個(gè)例子。新用戶名是與 BMC Bladelogic 服務(wù)器用戶名相同的“best1_user”。

“這是一個(gè)高度異常的模式”,Be’ery 說,時(shí)刻留意監(jiān)視用戶列表的簡(jiǎn)單步驟和新增等敏感管理員賬戶都可以對(duì)攻擊者進(jìn)行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界),所以必須監(jiān)控訪問模式。

第七步:使用新的管理憑證傳播到有關(guān)計(jì)算機(jī)

用新的訪問憑證,攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標(biāo)。但是 Aorato 指出了其路徑中的兩個(gè)障礙:繞過防火墻和限制直接訪問相關(guān)目標(biāo)的其他網(wǎng)絡(luò)安全解決方案,并針對(duì)其攻擊目標(biāo)在各種機(jī)器上運(yùn)行遠(yuǎn)程程序。

Aorato 說,攻擊者用“憤怒的 IP 掃描器”檢測(cè)連網(wǎng)電腦,穿過一系列的服務(wù)器來繞過安全工具。

至于在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行程序,攻擊者使用其憑證連接微軟 PSExec 應(yīng)用程序(在其他系統(tǒng)上執(zhí)行進(jìn)程的 telnet-replacement)和 Windows 內(nèi)部遠(yuǎn)程桌面客戶端。

Aorato 指出,這兩個(gè)工具都使用 Active Directory 用戶進(jìn)行身份驗(yàn)證和授權(quán),這意味著一旦有人在搜尋,Active Directory 將第一時(shí)間知曉。

一旦攻擊者訪問目標(biāo)系統(tǒng),他們會(huì)使用微軟的協(xié)調(diào)器管理解決方案來獲得持續(xù)的訪問,這將允許他們?cè)谑芄舻姆?wù)器上遠(yuǎn)程執(zhí)行任意代碼。

第八步:竊取PII 7000 萬

Aorato 說,在這一步,襲擊者使用 SQL 查詢工具來評(píng)估價(jià)數(shù)據(jù)庫服務(wù)器和檢索數(shù)據(jù)庫內(nèi)容的 SQL 批量復(fù)制工具的價(jià)值。這個(gè)過程,其實(shí)就是 PCI 合規(guī)所提出的黑客造成的嚴(yán)重?cái)?shù)據(jù)泄露事故——4000 萬信用卡。

當(dāng)攻擊者已經(jīng)成功訪問 7000 萬的 Target 目標(biāo)客戶時(shí),它并沒有獲得進(jìn)入信用卡。攻擊者將不得不重組一個(gè)新的計(jì)劃。

既然 Target 符合 PCI 合規(guī),數(shù)據(jù)庫不存儲(chǔ)任何信用卡的具體數(shù)據(jù),因此他們不得不轉(zhuǎn)向B計(jì)劃來直接從銷售的角度竊取信用卡。

第九步:安裝惡意軟件竊取 4000 萬信用卡

PoS 系統(tǒng)很可能不是一個(gè)攻擊者的初始目標(biāo)。只有當(dāng)他們無法訪問服務(wù)器上的信用卡數(shù)據(jù)時(shí),才會(huì)專注于將 PoS 機(jī)作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七步的遠(yuǎn)程執(zhí)行功能,襲擊者在 PoS 機(jī)上安裝了 Kaptoxa。惡意軟件被用來掃描被感染機(jī)器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。

唯獨(dú)在這一步中,襲擊者會(huì)使用專門的惡意軟件而不是常見的工具。

“擁有防病毒工具也不會(huì)在這種情況下起到作用”他說,“當(dāng)賭注太高、利潤數(shù)千萬美元時(shí),他們根本不介意創(chuàng)造特制工具的成本。”

第十步:通過網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

一旦惡意軟件獲取了信用卡數(shù)據(jù),它就會(huì)使用 Windows 命令和域管理憑證在遠(yuǎn)程的 FTP 機(jī)器上創(chuàng)建一個(gè)遠(yuǎn)程文件共享,并會(huì)定期將本地文件復(fù)制到遠(yuǎn)程共享。Be’ery 在此強(qiáng)調(diào),這些活動(dòng)會(huì)針對(duì) Activity

Directory 獲得授權(quán)。

第十一步:通過 FTP 傳送竊取數(shù)據(jù)

最后,一旦數(shù)據(jù)到達(dá) FTP 設(shè)備,可以使用 Windows 內(nèi)部的 FTP 客戶端將一個(gè)腳本將文件發(fā)送到已被攻擊者控制的 FTP 賬號(hào)。

初始滲透點(diǎn)并不是故事的終結(jié),因?yàn)樽罱K你必須假設(shè)你最終將被攻擊。你必須做好準(zhǔn)備,并當(dāng)你被攻擊時(shí)必須有事件響應(yīng)計(jì)劃。當(dāng)惡意軟件可以使攻擊者能夠更深入地探索網(wǎng)絡(luò)時(shí),真正的問題才會(huì)出現(xiàn)。如果你有正確的判斷力,問題將會(huì)真的顯示出來。

如何保護(hù)你的企業(yè)或組織

加強(qiáng)訪問控制。監(jiān)控文件訪問模式系統(tǒng)以識(shí)別異常和流氓訪問模式。在可能的情況下,使用多因素身份驗(yàn)證進(jìn)入相關(guān)敏感系統(tǒng),以減少與信用卡憑證相關(guān)的風(fēng)險(xiǎn)。隔離網(wǎng)絡(luò),并限制協(xié)議使用和用戶的過度特權(quán)。

監(jiān)控用戶的列表,時(shí)刻關(guān)注新添加用戶,尤其是有特權(quán)的用戶。

監(jiān)控偵察和信息收集的跡象,特別注意過度查詢和不正常的 LDAP 查詢。

考慮允許項(xiàng)目的白名單。

不要依賴反惡意軟件解決方案作為主要緩解措施,因?yàn)楣粽咧饕煤戏ǖ墓ぞ摺?/p>

在 Active Directory 上安裝安全與監(jiān)測(cè)控制設(shè)備,因?yàn)槠鋮⑴c幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報(bào)共享中心(CISC)組織,以獲得情報(bào)襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。

相關(guān)文章

  • 如何手工查找后門木馬?手工查木馬教程

    現(xiàn)在大多數(shù)電腦技術(shù)人開始學(xué)習(xí)防范技術(shù)了,因?yàn)楝F(xiàn)在防范技術(shù)比攻擊技術(shù)要重要,下面就一起來看看如何手工查找后門木馬吧
    2016-08-24
  • 最經(jīng)典的黑客入門教程(安全必備技能)

    無論那類黑客,他們最初的學(xué)習(xí)內(nèi)容都將是本部分所涉及的內(nèi)容,而且掌握的基本技能也都是一樣的。即便日后他們各自走上了不同的道路,但是所做的事情也差不多,只不過出發(fā)點(diǎn)
    2013-04-16
  • 黑客基礎(chǔ)知識(shí) 常用命令和快捷鍵大全

    很多用戶可能都知道在DOS模式下可以進(jìn)行命令行的黑客命令操作,可總有用戶不知道從哪里下手,看了下文您應(yīng)該可以有一點(diǎn)啟示
    2013-06-07
  • 網(wǎng)頁掛馬方法和技巧大匯總

    1,掛馬的N種方法   (1) HTML掛馬法。   常規(guī)的HTML掛馬方法一般是在網(wǎng)頁中插入一條iframe語句,像<iframe src=http://www.xxx.com/horse.html width=0 height=0&
    2009-06-03
  • 整人用的一個(gè)電腦重啟病毒

    這篇文章主要介紹了整人用的一個(gè)電腦重啟病毒,本文用bat文件偽造如QQ圖標(biāo)等常用軟件,導(dǎo)致點(diǎn)擊就會(huì)重啟的惡作劇腳本,需要的朋友可以參考下
    2014-10-10
  • Google 黑客搜索技巧

    站內(nèi)搜索地址為: httpwww.google.comcustomdomains=(這里寫我們要搜索的站點(diǎn),比如feelids.com) 進(jìn)去可以選擇www和feelids.com, 當(dāng)然再選我們要的站內(nèi)搜索
    2008-10-08
  • 偽黑客的成功的秘密:tomcat入侵和Jboss入侵的方法介紹(圖)

    黑客必須要有專業(yè)的知識(shí),豐富的經(jīng)驗(yàn)。而偽黑客不需要,只需要幾個(gè)工具,掃描默認(rèn)口令、弱口令、漏洞,就能利用。
    2012-05-18
  • 黑客攻擊數(shù)據(jù)庫的六大手段

    普通的黑客從進(jìn)入到退出一次數(shù)據(jù)攻擊只需用不到10秒鐘時(shí)間就可完成,這個(gè)時(shí)間對(duì)于數(shù)據(jù)庫管理員來說即使注意到入侵者都幾乎不夠。因此,在數(shù)據(jù)被損害很長(zhǎng)時(shí)間之前,許多數(shù)據(jù)
    2008-10-08
  • 黑客對(duì)社交網(wǎng)站攻擊的常見五大手法(圖文)

    揭開社交網(wǎng)站背后的暗黑秘密
    2012-06-23
  • DiskFiltration電腦沒聯(lián)網(wǎng),黑客也能靠硬盤竊取電腦數(shù)據(jù)文件

    大部分的電腦用戶以為只有在聯(lián)網(wǎng)的狀態(tài)下我們的數(shù)據(jù)才會(huì)被竊取,其實(shí),令我們震驚的是:不聯(lián)網(wǎng)黑客們也可以盜取我們的數(shù)據(jù),一起來看看是怎么回事吧
    2016-08-30

最新評(píng)論