黑客攻击我们的11步详解及防御建议

标签: 业界观察 攻击 黑客 | 发表时间:2014-09-17 12:00 | 作者:techug
出处:http://www.vaikan.com

安全公司Aorato的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后,该公司的PCI合规新计划已经大幅降低了损害的范围。

利用所有可用的公开报告,Aorato的首席研究员Tal Aorato ‘ery及其团队记录了攻击者用来攻击Target的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。关于事故的细节依旧模糊,但是Be’ery认为,有必要了解整个攻击过程,因为黑客们依然存在。

跟踪攻击就像网络古生物学

而Be’ery承认,安全公司Aorato对于一些细节的描述可能是不正确的,但是他确信关于Target网络系统重建的言论是正确的。

“我喜欢称之为网络古生物学”,Be’ery说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。

2013年12月,正值一年当中最繁忙购物季的中期,关于Target数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了7000万消费者的个人身份信息以及4000万信用卡和借记卡的数据信息。Target的CIO和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到10亿美元。

了解上述事件的大多数人都知道它始于窃取Target供应商的信用凭证。但攻击者是如何从Target网络的边界逐步渗透到核心业务系统?Be’ery认为,攻击者深思熟虑采取了11个步骤。

第一步:安装窃取信用卡凭证的恶意软件

攻击者首先窃取了Target空调供应商Fazio Mechanical Services的凭证。根据首先打破合规故事的Kreson Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。

第二步:利用窃取的凭证建立连接

攻击者使用窃取的凭证访问Target致力于服务供应商的主页。在违规发生后的公开声明中,Fazio Mechanical Services的主席和持有人Ross
Fazio表示,该公司不对Target的加热、冷却和制冷系统执行远程监控。其与Target网络连接的数据是专门用于电子账单、提交合同和项目管理的。

这个Web应用程序是非常有限的。虽然攻击者现在可以使用托管在Target内部网络Web应用程序进入Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。

第三步:开发Web程序漏洞

攻击者需要找到一处可以利用的漏洞。Be’ery指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据Aorato的报告,当所有其他已知的攻击工具文件是Windows可执行文件时,这就是一个在Web应用程序内运行脚本的PHP文件。

“这个文件表明,攻击者能够通过利Web应用程序中的一个漏洞上传PHP文件,”Aorato报告显示,原因可能Web应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在Web应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。

恶意脚本可能是一个“Web壳”,一个基Web并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后Target就被通知数据泄露。

第四步:细心侦查

此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要Target内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。

目标是Target的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。利用攻击目标的名字,Aorato认为,攻击者将随后获得查询DNS服务器的IP地址。

第五步:窃取域管理员访问令牌

至此,Be’ery认为,攻击者已经确定他们的目标,但他们需要访问权限尤其是域管理员权限来帮助他们。

基于前Target安全团队成员提供给记者Brian Krebs的信息,Aorato认为,攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个NT令牌,让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。

随着这种技术的深入证实,Aorato指向了工具的使用,包括用于从内存中登录会话和NTLM凭证的渗透测试工具、提取域账户NT / LM历史的散列密码。

第六步:新的域管理员帐户

上一步允许攻击者伪装成域管理员,然而一旦受害者改变了密码,或者当试图访问一些需要显示使用密码的服务(如远程桌面)时,他就成为无效的。那么,下一步是创建一个新的域管理员帐户。

攻击者能够使用他们窃取的特权来创建一个新帐户,并将它添加到域管理组,将帐户特权提供给攻击者,同时也给攻击者控制密码的机会。

Be’ery说,这是攻击者隐藏在普通场景中的另一个例子。新用户名是与BMC Bladelogic服务器用户名相同的“best1_user”。

“这是一个高度异常的模式”,Be’ery说,时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界),所以必须监控访问模式。

第七步:使用新的管理凭证传播到有关计算机

用新的访问凭证,攻击者现在可以继续追求其攻击目标。但是Aorato指出了其路径中的两个障碍:绕过防火墙和限制直接访问相关目标的其他网络安全解决方案,并针对其攻击目标在各种机器上运行远程程序。

Aorato说,攻击者用“愤怒的IP扫描器”检测连网电脑,穿过一系列的服务器来绕过安全工具。

至于在目标服务器上远程执行程序,攻击者使用其凭证连接微软PSExec应用程序(在其他系统上执行进程的telnet-replacement)和Windows内部远程桌面客户端。

Aorato指出,这两个工具都使用Active Directory用户进行身份验证和授权,这意味着一旦有人在搜寻,Active Directory将第一时间知晓。

一旦攻击者访问目标系统,他们会使用微软的协调器管理解决方案来获得持续的访问,这将允许他们在受攻击的服务器上远程执行任意代码。

第八步:窃取PII 7000万

Aorato说,在这一步,袭击者使用SQL查询工具来评估价数据库服务器和检索数据库内容的SQL批量复制工具的价值。这个过程,其实就是PCI合规所提出的黑客造成的严重数据泄露事故——4000万信用卡。

当攻击者已经成功访问7000万的Target目标客户时,它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。

既然Target符合PCI合规,数据库不存储任何信用卡的具体数据,因此他们不得不转向B计划来直接从销售的角度窃取信用卡。

第九步:安装恶意软件 窃取4000万信用卡

PoS系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时,才会专注于将PoS机作为应急。在第四步中使用网络和第七步的远程执行功能,袭击者在PoS机上安装了Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。

唯独在这一步中,袭击者会使用专门的恶意软件而不是常见的工具。

“拥有防病毒工具也不会在这种情况下起到作用”他说,“当赌注太高、利润数千万美元时,他们根本不介意创造特制工具的成本。”

第十步:通过网络共享传递窃取数据

一旦恶意软件获取了信用卡数据,它就会使用Windows命令和域管理凭证在远程的FTP机器上创建一个远程文件共享,并会定期将本地文件复制到远程共享。Be’ery在此强调,这些活动会针对Activity
Directory获得授权。

第十一步:通过FTP传送窃取数据

最后,一旦数据到达FTP设备,可以使用Windows内部的FTP客户端将一个脚本将文件发送到已被攻击者控制的FTP账号。

初始渗透点并不是故事的终结,因为最终你必须假设你最终将被攻击。你必须做好准备,并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时,真正的问题才会出现。如果你有正确的判断力,问题将会真的显示出来。

如何保护你的企业或组织

加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证进入相关敏感系统,以减少与信用卡凭证相关的风险。隔离网络,并限制协议使用和用户的过度特权。

  • 监控用户的列表,时刻关注新添加用户,尤其是有特权的用户。
  • 监控侦察和信息收集的迹象,特别注意过度查询和不正常的LDAP查询。
  • 考虑允许项目的白名单。
  • 不要依赖反恶意软件解决方案作为主要缓解措施,因为攻击者主要利用合法的工具。
  • 在Active Directory上安装安全与监测控制设备,因为其参与几乎所有阶段的攻击。
  • 参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组织,以获得情报袭击者宝贵的战术、技术和程序(TTPs)。

相关 [黑客 攻击] 推荐:

黑客攻击的七大战术

- - Solidot
程序员 写道 "不计其数的黑客们游荡在因特网中来欺骗那些容易上当的用户. 它们多年使用着重复的攻击手段,毫无创新地利用着我们懒惰、误判和一些犯二的行为. 不过每年,恶意软件研究人员总会遇到一些引人侧目的攻击手段. 这些攻击手段在不断拓展恶意攻击的范围. 新的攻击手段都是不按套路出牌的,尽管这些手段在被研究看透之后其实很简单.

SK Communications黑客攻击详细分析报告公布

- ArmadilloCommander - Solidot
韩国SK Communications公司7月28日宣布被黑客入侵,多达3500万用户信息被窃取. 澳大利亚安全公司Command Five Pty Ltd公布了此次攻击的详细分析报告(PDF). 报告认为,此次入侵是一次计划周密的有组织攻击. 报告称,攻击者于2010年9月24日注册了恶意域名“alyac.org”,该域名与韩国软件开发商ESTsoft旗下域名alyac.com十分相近,注册者名叫“Guangming Wang”,此人注册了约400个域名.

蓝翔技校否认参与黑客攻击

- 10247966445737274056 - Solidot
自2010年的极光行动之后,Google再次公开宣布有数百名Gmail用户遭中国黑客攻击,它跟踪到攻击源头是济南. 一家默默无名的技术学校再次成为万众瞩目的焦点. 去年极光行动的一系列报道中,《纽约时报》指名了两所学校,其一是上海交大,另一个则是济南蓝翔高级技术学校. 蓝翔技校成立于1984年,现有在校学生3万多人.

黑客利用社交工程技术发动攻击

- 远 - Solidot
Burberry Scarf 写道 "《华尔街日报》报导,当防火墙日益严密,网络罪犯或黑客开始借助低技术方法渗透进安全系统. 克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,担心妻子用假名开设了账户. 这种情况完全可能,但在这个案例中,派滕却撒了谎. 不疑有诈的公司客服代表将用户账号和其他详细信息交给了派滕,令人感到后怕.

黑客攻击我们的11步详解及防御建议

- - 外刊IT评论
安全公司Aorato的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后,该公司的PCI合规新计划已经大幅降低了损害的范围. 利用所有可用的公开报告,Aorato的首席研究员Tal Aorato ‘ery及其团队记录了攻击者用来攻击Target的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的.

黑帽大会:十大最具威胁的黑客攻击方式

- nikelius - cnBeta全文版
在上周于拉斯维加斯举行的黑帽大会及Defcon大会当中,研究人员为大家轮番展示了其最为得意的、涵盖从浏览器到车载设备领域的各类新式攻击手 段. 他们在回避安保机制方面所付出的辛勤汗水及迸发的灵感火花令人叹为观止. 从这里开始,我们将选择其中最为精彩的案例推介给大家. 在上周于拉斯维加斯举行的黑帽大会及Defcon大会当中,研究人员为大家轮番展示了其最为得意的、涵盖从浏览器到车载设备领域的各类新式攻击手 段.

黑客组织:9月24日对美国进行网络攻击

- f41c0n - cnBeta.COM
据美国科技博客TechCrunch报道,著名黑客组织匿名者(Anonymous)周三宣称,他们将于9月24日在美国发起一系列网络攻击. 匿名者发布新闻稿称,他们和其他网络自由组织将在全美国发起“平静而又强有力”的抗议. 匿名者宣布将9月24日定为全国“复仇日”(Day Of Vengence),当天正午时分,他们将在美国多个城市发起一系列网络攻击,目标也非常广泛,包括华尔街、腐败金融机构、纽约警察局等.

自律公约要求中国黑客拒绝通过网络攻击牟利

- Darth Noctis - Solidot
两位知名的中国黑客向中国媒体公布了他们起草的《COG黑客自律公约》,就一些常识性和宣传性质的观点向中国黑客发出公开的倡议. 《公约》执笔人是COG论坛发起人龚蔚(goodwell)和中国鹰派联盟创始人万涛(老鹰),后者曾经历过中日黑客、中美黑客、反台独“大战”. 《自律公约》要求黑客“以服务特定的公共利益为目的”,“避免影响普通公众,任何以儿童与未成年人为对象的攻击都应受到谴责”,“以获得收入和非公共利益为目的的拒绝服务攻击(DDOS)不属于黑客活动”,“黑客活动不应违背保护信息自由流动的底线”,“黑客获得金钱的方式不应通过窃取普通公众的劳动成果获得”,力求避免“鼓吹极端主义、暴力、动物虐待、环境破坏与种族主义”....

国家测绘局推新版天地图 已遭17万次黑客攻击

- Adam - cnBeta.COM
10月21日上午消息,国家测绘地理信息局今日正式推出2011版和手机版天地图. 这一在线地图服务开通一年以来,累计已有1.43亿人次访问,并抵御17万次黑客攻击. 国家测绘局称,未来将鼓励企业基于天地图进行增值服务和应用的开发. 去年10月21日,作为国家地理信息公共服务平台的公众版,天地图正式开通运营.

session fixation攻击

- - 互联网 - ITeye博客
什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文.