黑客最早源自英文hacker，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。但如今，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙.

安全公司 Aorato 的一項(xiàng)新研究顯示，個(gè)人可識(shí)別信息（PII）和信用卡及借記卡數(shù)據(jù)在今年年初的 Target 數(shù)據(jù)泄露實(shí)踐中遭到大規(guī)模偷竊后，該公司的 PCI 合規(guī)新計(jì)劃已經(jīng)大幅降低了損害的范圍。

利用所有可用的公開報(bào)告，Aorato 的首席研究員 Tal Aorato ‘ery 及其團(tuán)隊(duì)記錄了攻擊者用來攻擊 Target 的所有工具，并創(chuàng)建了一個(gè)循序漸進(jìn)的過程，來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從 PoS 系統(tǒng)抓取信用卡數(shù)據(jù)的。關(guān)于事故的細(xì)節(jié)依舊模糊，但是 Be’ery 認(rèn)為，有必要了解整個(gè)攻擊過程，因?yàn)楹诳蛡円廊淮嬖凇?

跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)

而 Be’ery 承認(rèn)，安全公司 Aorato 對(duì)于一些細(xì)節(jié)的描述可能是不正確的，但是他確信關(guān)于 Target 網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。

“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”，Be’ery 說。有許多報(bào)告聲稱，在這個(gè)事件中涌現(xiàn)了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長(zhǎng)什么樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識(shí)，我們可以重建這種恐龍模型。

2013 年 12 月，正值一年當(dāng)中最繁忙購物季的中期，關(guān)于 Target 數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流，日益清晰的是攻擊者已經(jīng)獲取了 7000 萬消費(fèi)者的個(gè)人身份信息以及 4000 萬信用卡和借記卡的數(shù)據(jù)信息。Target 的 CIO 和董事長(zhǎng)、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱，預(yù)計(jì)經(jīng)濟(jì)損失可能達(dá)到 10 億美元。

了解上述事件的大多數(shù)人都知道它始于竊取 Target 供應(yīng)商的信用憑證。但攻擊者是如何從 Target 網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)？Be’ery 認(rèn)為，攻擊者深思熟慮采取了 11 個(gè)步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了 Target 空調(diào)供應(yīng)商 Fazio Mechanical Services 的憑證。根據(jù)首先打破合規(guī)故事的 Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動(dòng)。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問 Target 致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中，F(xiàn)azio Mechanical Services 的主席和持有人 Ross

Fazio 表示，該公司不對(duì) Target 的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與 Target 網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項(xiàng)目管理的。

這個(gè) Web 應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在 Target 內(nèi)部網(wǎng)絡(luò) Web 應(yīng)用程序進(jìn)入 Target，應(yīng)用程序還是不允許任意命令執(zhí)行，而這將在攻擊過程中是十分緊迫的。

第三步：開發(fā) Web 程序漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery 指出了一個(gè)公開報(bào)告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù) Aorato 的報(bào)告，當(dāng)所有其他已知的攻擊工具文件是 Windows 可執(zhí)行文件時(shí)，這就是一個(gè)在 Web 應(yīng)用程序內(nèi)運(yùn)行腳本的 PHP 文件。

“這個(gè)文件表明，攻擊者能夠通過利 Web 應(yīng)用程序中的一個(gè)漏洞上傳 PHP 文件，”Aorato 報(bào)告顯示，原因可能 Web 應(yīng)用程序有一個(gè)用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在 Web 應(yīng)用程序中的事故，始終沒有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。

惡意腳本可能是一個(gè)“Web 殼”，一個(gè)基 Web 并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會(huì)在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意，”他解釋說。他們?cè)诤谑猩铣鍪哿诵庞每ㄌ?hào)碼，不久之后 Target 就被通知數(shù)據(jù)泄露。

第四步：細(xì)心偵查

此時(shí)，攻擊者不得不放慢腳步，來細(xì)心做一些偵察。他們有能力運(yùn)行任意操作系統(tǒng)命令，但進(jìn)一步的行動(dòng)還需要 Target 內(nèi)部網(wǎng)絡(luò)的情報(bào)，所以他們需要找到存儲(chǔ)客戶信息和信用卡數(shù)據(jù)的服務(wù)器。

目標(biāo)是 Target 的活動(dòng)目錄，這包括數(shù)據(jù)域的所有成員：用戶、計(jì)算機(jī)和服務(wù)。他們能夠利用內(nèi)部 Windows 工具和 LDAP 協(xié)議查詢活動(dòng)目錄。Aorato 相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù)，然后通過查看服務(wù)器的名稱來推斷出每個(gè)服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來找到 PoS-related 機(jī)器的過程。利用攻擊目標(biāo)的名字，Aorato 認(rèn)為，攻擊者將隨后獲得查詢 DNS 服務(wù)器的 IP 地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery 認(rèn)為，攻擊者已經(jīng)確定他們的目標(biāo)，但他們需要訪問權(quán)限尤其是域管理員權(quán)限來幫助他們。

基于前 Target 安全團(tuán)隊(duì)成員提供給記者 Brian Krebs 的信息，Aorato 認(rèn)為，攻擊者使用一個(gè)名為“Pass-the-Hash”的攻擊技術(shù)來獲得一個(gè) NT 令牌，讓他們模仿活動(dòng)目錄管理員——至少直到實(shí)際的管理員去改變其密碼。

隨著這種技術(shù)的深入證實(shí)，Aorato 指向了工具的使用，包括用于從內(nèi)存中登錄會(huì)話和 NTLM 憑證的滲透測(cè)試工具、提取域賬戶 NT / LM 歷史的散列密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當(dāng)試圖訪問一些需要顯示使用密碼的服務(wù)(如遠(yuǎn)程桌面)時(shí)，他就成為無效的。那么，下一步是創(chuàng)建一個(gè)新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權(quán)來創(chuàng)建一個(gè)新帳戶，并將它添加到域管理組，將帳戶特權(quán)提供給攻擊者，同時(shí)也給攻擊者控制密碼的機(jī)會(huì)。

Be’ery 說，這是攻擊者隱藏在普通場(chǎng)景中的另一個(gè)例子。新用戶名是與 BMC Bladelogic 服務(wù)器用戶名相同的“best1_user”。

“這是一個(gè)高度異常的模式”，Be’ery 說，時(shí)刻留意監(jiān)視用戶列表的簡(jiǎn)單步驟和新增等敏感管理員賬戶都可以對(duì)攻擊者進(jìn)行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界)，所以必須監(jiān)控訪問模式。

第七步：使用新的管理憑證傳播到有關(guān)計(jì)算機(jī)

用新的訪問憑證，攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標(biāo)。但是 Aorato 指出了其路徑中的兩個(gè)障礙：繞過防火墻和限制直接訪問相關(guān)目標(biāo)的其他網(wǎng)絡(luò)安全解決方案，并針對(duì)其攻擊目標(biāo)在各種機(jī)器上運(yùn)行遠(yuǎn)程程序。

Aorato 說，攻擊者用“憤怒的 IP 掃描器”檢測(cè)連網(wǎng)電腦，穿過一系列的服務(wù)器來繞過安全工具。

至于在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行程序，攻擊者使用其憑證連接微軟 PSExec 應(yīng)用程序(在其他系統(tǒng)上執(zhí)行進(jìn)程的 telnet-replacement)和 Windows 內(nèi)部遠(yuǎn)程桌面客戶端。

Aorato 指出，這兩個(gè)工具都使用 Active Directory 用戶進(jìn)行身份驗(yàn)證和授權(quán)，這意味著一旦有人在搜尋，Active Directory 將第一時(shí)間知曉。

一旦攻擊者訪問目標(biāo)系統(tǒng)，他們會(huì)使用微軟的協(xié)調(diào)器管理解決方案來獲得持續(xù)的訪問，這將允許他們?cè)谑芄舻姆?wù)器上遠(yuǎn)程執(zhí)行任意代碼。

第八步：竊取PII 7000 萬

Aorato 說，在這一步，襲擊者使用 SQL 查詢工具來評(píng)估價(jià)數(shù)據(jù)庫服務(wù)器和檢索數(shù)據(jù)庫內(nèi)容的 SQL 批量復(fù)制工具的價(jià)值。這個(gè)過程，其實(shí)就是 PCI 合規(guī)所提出的黑客造成的嚴(yán)重?cái)?shù)據(jù)泄露事故——4000 萬信用卡。

當(dāng)攻擊者已經(jīng)成功訪問 7000 萬的 Target 目標(biāo)客戶時(shí)，它并沒有獲得進(jìn)入信用卡。攻擊者將不得不重組一個(gè)新的計(jì)劃。

既然 Target 符合 PCI 合規(guī)，數(shù)據(jù)庫不存儲(chǔ)任何信用卡的具體數(shù)據(jù)，因此他們不得不轉(zhuǎn)向B計(jì)劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟件竊取 4000 萬信用卡

PoS 系統(tǒng)很可能不是一個(gè)攻擊者的初始目標(biāo)。只有當(dāng)他們無法訪問服務(wù)器上的信用卡數(shù)據(jù)時(shí)，才會(huì)專注于將 PoS 機(jī)作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七步的遠(yuǎn)程執(zhí)行功能，襲擊者在 PoS 機(jī)上安裝了 Kaptoxa。惡意軟件被用來掃描被感染機(jī)器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。

唯獨(dú)在這一步中，襲擊者會(huì)使用專門的惡意軟件而不是常見的工具。

“擁有防病毒工具也不會(huì)在這種情況下起到作用”他說，“當(dāng)賭注太高、利潤數(shù)千萬美元時(shí)，他們根本不介意創(chuàng)造特制工具的成本。”

第十步：通過網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

一旦惡意軟件獲取了信用卡數(shù)據(jù)，它就會(huì)使用 Windows 命令和域管理憑證在遠(yuǎn)程的 FTP 機(jī)器上創(chuàng)建一個(gè)遠(yuǎn)程文件共享，并會(huì)定期將本地文件復(fù)制到遠(yuǎn)程共享。Be’ery 在此強(qiáng)調(diào)，這些活動(dòng)會(huì)針對(duì) Activity

Directory 獲得授權(quán)。

第十一步：通過 FTP 傳送竊取數(shù)據(jù)

最后，一旦數(shù)據(jù)到達(dá) FTP 設(shè)備，可以使用 Windows 內(nèi)部的 FTP 客戶端將一個(gè)腳本將文件發(fā)送到已被攻擊者控制的 FTP 賬號(hào)。

初始滲透點(diǎn)并不是故事的終結(jié)，因?yàn)樽罱K你必須假設(shè)你最終將被攻擊。你必須做好準(zhǔn)備，并當(dāng)你被攻擊時(shí)必須有事件響應(yīng)計(jì)劃。當(dāng)惡意軟件可以使攻擊者能夠更深入地探索網(wǎng)絡(luò)時(shí)，真正的問題才會(huì)出現(xiàn)。如果你有正確的判斷力，問題將會(huì)真的顯示出來。

如何保護(hù)你的企業(yè)或組織

加強(qiáng)訪問控制。監(jiān)控文件訪問模式系統(tǒng)以識(shí)別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗(yàn)證進(jìn)入相關(guān)敏感系統(tǒng)，以減少與信用卡憑證相關(guān)的風(fēng)險(xiǎn)。隔離網(wǎng)絡(luò)，并限制協(xié)議使用和用戶的過度特權(quán)。

監(jiān)控用戶的列表，時(shí)刻關(guān)注新添加用戶，尤其是有特權(quán)的用戶。

監(jiān)控偵察和信息收集的跡象，特別注意過度查詢和不正常的 LDAP 查詢。

考慮允許項(xiàng)目的白名單。

不要依賴反惡意軟件解決方案作為主要緩解措施，因?yàn)楣粽咧饕煤戏ǖ墓ぞ摺?/p>

在 Active Directory 上安裝安全與監(jiān)測(cè)控制設(shè)備，因?yàn)槠鋮⑴c幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報(bào)共享中心(CISC)組織，以獲得情報(bào)襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。

最新評(píng)論