黑客最早源自英文hacker，原指熱心于計算機技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計人員。但如今，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙.

安全公司 Aorato 的一項新研究顯示，個人可識別信息（PII）和信用卡及借記卡數(shù)據(jù)在今年年初的 Target 數(shù)據(jù)泄露實踐中遭到大規(guī)模偷竊后，該公司的 PCI 合規(guī)新計劃已經(jīng)大幅降低了損害的范圍。

利用所有可用的公開報告，Aorato 的首席研究員 Tal Aorato ‘ery 及其團隊記錄了攻擊者用來攻擊 Target 的所有工具，并創(chuàng)建了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從 PoS 系統(tǒng)抓取信用卡數(shù)據(jù)的。關(guān)于事故的細節(jié)依舊模糊，但是 Be’ery 認為，有必要了解整個攻擊過程，因為黑客們依然存在。

跟蹤攻擊就像網(wǎng)絡(luò)古生物學

而 Be’ery 承認，安全公司 Aorato 對于一些細節(jié)的描述可能是不正確的，但是他確信關(guān)于 Target 網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。

“我喜歡稱之為網(wǎng)絡(luò)古生物學”，Be’ery 說。有許多報告聲稱，在這個事件中涌現(xiàn)了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長什么樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

2013 年 12 月，正值一年當中最繁忙購物季的中期，關(guān)于 Target 數(shù)據(jù)泄露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經(jīng)獲取了 7000 萬消費者的個人身份信息以及 4000 萬信用卡和借記卡的數(shù)據(jù)信息。Target 的 CIO 和董事長、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱，預(yù)計經(jīng)濟損失可能達到 10 億美元。

了解上述事件的大多數(shù)人都知道它始于竊取 Target 供應(yīng)商的信用憑證。但攻擊者是如何從 Target 網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)？Be’ery 認為，攻擊者深思熟慮采取了 11 個步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了 Target 空調(diào)供應(yīng)商 Fazio Mechanical Services 的憑證。根據(jù)首先打破合規(guī)故事的 Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問 Target 致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中，F(xiàn)azio Mechanical Services 的主席和持有人 Ross

Fazio 表示，該公司不對 Target 的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠程監(jiān)控。其與 Target 網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項目管理的。

這個 Web 應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在 Target 內(nèi)部網(wǎng)絡(luò) Web 應(yīng)用程序進入 Target，應(yīng)用程序還是不允許任意命令執(zhí)行，而這將在攻擊過程中是十分緊迫的。

第三步：開發(fā) Web 程序漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery 指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù) Aorato 的報告，當所有其他已知的攻擊工具文件是 Windows 可執(zhí)行文件時，這就是一個在 Web 應(yīng)用程序內(nèi)運行腳本的 PHP 文件。

“這個文件表明，攻擊者能夠通過利 Web 應(yīng)用程序中的一個漏洞上傳 PHP 文件，”Aorato 報告顯示，原因可能 Web 應(yīng)用程序有一個用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在 Web 應(yīng)用程序中的事故，始終沒有恰當?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。

惡意腳本可能是一個“Web 殼”，一個基 Web 并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之后 Target 就被通知數(shù)據(jù)泄露。

第四步：細心偵查

此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力運行任意操作系統(tǒng)命令，但進一步的行動還需要 Target 內(nèi)部網(wǎng)絡(luò)的情報，所以他們需要找到存儲客戶信息和信用卡數(shù)據(jù)的服務(wù)器。

目標是 Target 的活動目錄，這包括數(shù)據(jù)域的所有成員：用戶、計算機和服務(wù)。他們能夠利用內(nèi)部 Windows 工具和 LDAP 協(xié)議查詢活動目錄。Aorato 相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù)，然后通過查看服務(wù)器的名稱來推斷出每個服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來找到 PoS-related 機器的過程。利用攻擊目標的名字，Aorato 認為，攻擊者將隨后獲得查詢 DNS 服務(wù)器的 IP 地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery 認為，攻擊者已經(jīng)確定他們的目標，但他們需要訪問權(quán)限尤其是域管理員權(quán)限來幫助他們。

基于前 Target 安全團隊成員提供給記者 Brian Krebs 的信息，Aorato 認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術(shù)來獲得一個 NT 令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

隨著這種技術(shù)的深入證實，Aorato 指向了工具的使用，包括用于從內(nèi)存中登錄會話和 NTLM 憑證的滲透測試工具、提取域賬戶 NT / LM 歷史的散列密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當試圖訪問一些需要顯示使用密碼的服務(wù)(如遠程桌面)時，他就成為無效的。那么，下一步是創(chuàng)建一個新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權(quán)來創(chuàng)建一個新帳戶，并將它添加到域管理組，將帳戶特權(quán)提供給攻擊者，同時也給攻擊者控制密碼的機會。

Be’ery 說，這是攻擊者隱藏在普通場景中的另一個例子。新用戶名是與 BMC Bladelogic 服務(wù)器用戶名相同的“best1_user”。

“這是一個高度異常的模式”，Be’ery 說，時刻留意監(jiān)視用戶列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界)，所以必須監(jiān)控訪問模式。

第七步：使用新的管理憑證傳播到有關(guān)計算機

用新的訪問憑證，攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標。但是 Aorato 指出了其路徑中的兩個障礙：繞過防火墻和限制直接訪問相關(guān)目標的其他網(wǎng)絡(luò)安全解決方案，并針對其攻擊目標在各種機器上運行遠程程序。

Aorato 說，攻擊者用“憤怒的 IP 掃描器”檢測連網(wǎng)電腦，穿過一系列的服務(wù)器來繞過安全工具。

至于在目標服務(wù)器上遠程執(zhí)行程序，攻擊者使用其憑證連接微軟 PSExec 應(yīng)用程序(在其他系統(tǒng)上執(zhí)行進程的 telnet-replacement)和 Windows 內(nèi)部遠程桌面客戶端。

Aorato 指出，這兩個工具都使用 Active Directory 用戶進行身份驗證和授權(quán)，這意味著一旦有人在搜尋，Active Directory 將第一時間知曉。

一旦攻擊者訪問目標系統(tǒng)，他們會使用微軟的協(xié)調(diào)器管理解決方案來獲得持續(xù)的訪問，這將允許他們在受攻擊的服務(wù)器上遠程執(zhí)行任意代碼。

第八步：竊取PII 7000 萬

Aorato 說，在這一步，襲擊者使用 SQL 查詢工具來評估價數(shù)據(jù)庫服務(wù)器和檢索數(shù)據(jù)庫內(nèi)容的 SQL 批量復(fù)制工具的價值。這個過程，其實就是 PCI 合規(guī)所提出的黑客造成的嚴重數(shù)據(jù)泄露事故——4000 萬信用卡。

當攻擊者已經(jīng)成功訪問 7000 萬的 Target 目標客戶時，它并沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

既然 Target 符合 PCI 合規(guī)，數(shù)據(jù)庫不存儲任何信用卡的具體數(shù)據(jù)，因此他們不得不轉(zhuǎn)向B計劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟件竊取 4000 萬信用卡

PoS 系統(tǒng)很可能不是一個攻擊者的初始目標。只有當他們無法訪問服務(wù)器上的信用卡數(shù)據(jù)時，才會專注于將 PoS 機作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七步的遠程執(zhí)行功能，襲擊者在 PoS 機上安裝了 Kaptoxa。惡意軟件被用來掃描被感染機器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。

唯獨在這一步中，襲擊者會使用專門的惡意軟件而不是常見的工具。

“擁有防病毒工具也不會在這種情況下起到作用”他說，“當賭注太高、利潤數(shù)千萬美元時，他們根本不介意創(chuàng)造特制工具的成本。”

第十步：通過網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

一旦惡意軟件獲取了信用卡數(shù)據(jù)，它就會使用 Windows 命令和域管理憑證在遠程的 FTP 機器上創(chuàng)建一個遠程文件共享，并會定期將本地文件復(fù)制到遠程共享。Be’ery 在此強調(diào)，這些活動會針對 Activity

Directory 獲得授權(quán)。

第十一步：通過 FTP 傳送竊取數(shù)據(jù)

最后，一旦數(shù)據(jù)到達 FTP 設(shè)備，可以使用 Windows 內(nèi)部的 FTP 客戶端將一個腳本將文件發(fā)送到已被攻擊者控制的 FTP 賬號。

初始滲透點并不是故事的終結(jié)，因為最終你必須假設(shè)你最終將被攻擊。你必須做好準備，并當你被攻擊時必須有事件響應(yīng)計劃。當惡意軟件可以使攻擊者能夠更深入地探索網(wǎng)絡(luò)時，真正的問題才會出現(xiàn)。如果你有正確的判斷力，問題將會真的顯示出來。

如何保護你的企業(yè)或組織

加強訪問控制。監(jiān)控文件訪問模式系統(tǒng)以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關(guān)敏感系統(tǒng)，以減少與信用卡憑證相關(guān)的風險。隔離網(wǎng)絡(luò)，并限制協(xié)議使用和用戶的過度特權(quán)。

監(jiān)控用戶的列表，時刻關(guān)注新添加用戶，尤其是有特權(quán)的用戶。

監(jiān)控偵察和信息收集的跡象，特別注意過度查詢和不正常的 LDAP 查詢。

考慮允許項目的白名單。

不要依賴反惡意軟件解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。

在 Active Directory 上安裝安全與監(jiān)測控制設(shè)備，因為其參與幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。

最新評論