安全公司Aorato的一項(xiàng)新研究顯示，個人可識別信息(PII)和信用卡及借記卡數(shù)據(jù)在今年年初的Target數(shù)據(jù)泄露實(shí)踐中遭到大規(guī)模偷竊后，該公司的PCI合規(guī)新計劃已經(jīng)大幅降低了損害的范圍。

　　利用所有可用的公開報告，Aorato的首席研究員Tal Aorato B‘ery及其團(tuán)隊記錄了攻擊者用來攻擊Target的所有工具，并創(chuàng)建了一個循序漸進(jìn)的過程，來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從PoS系統(tǒng)抓取信用卡數(shù)據(jù)的。關(guān)于事故的細(xì)節(jié)依舊模糊，但是Be’ery認(rèn)為，有必要了解整個攻擊過程，因?yàn)楹诳蛡円廊淮嬖凇?/p>

　　跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)

　　而Be’ery承認(rèn)，安全公司Aorato對于一些細(xì)節(jié)的描述可能是不正確的，但是他確信關(guān)于Target網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。

　　“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”，Be’ery說。有許多報告聲稱，在這個事件中涌現(xiàn)了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長什么樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

　　2013年12月，正值一年當(dāng)中最繁忙購物季的中期，關(guān)于Target數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流，日益清晰的是攻擊者已經(jīng)獲取了7000萬消費(fèi)者的個人身份信息以及4000萬信用卡和借記卡的數(shù)據(jù)信息。Target的CIO和董事長、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱，預(yù)計經(jīng)濟(jì)損失可能達(dá)到10億美元。

　　了解上述事件的大多數(shù)人都知道它始于竊取Target供應(yīng)商的信用憑證。但攻擊者是如何從Target網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)?Be’ery認(rèn)為，攻擊者深思熟慮采取了11個步驟。

　　第一步：安裝竊取信用卡憑證的惡意軟件

　　攻擊者首先竊取了Target空調(diào)供應(yīng)商Fazio Mechanical Services的憑證。根據(jù)首先打破合規(guī)故事的Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動。

　　第二步：利用竊取的憑證建立連接

　　攻擊者使用竊取的憑證訪問Target致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中，F(xiàn)azio Mechanical Services的主席和持有人Ross

　　Fazio表示，該公司不對Target的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與Target網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項(xiàng)目管理的。

　　這個Web應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在Target內(nèi)部網(wǎng)絡(luò)Web應(yīng)用程序進(jìn)入Target，應(yīng)用程序還是不允許任意命令執(zhí)行，而這將在攻擊過程中是十分緊迫的。

　　第三步：開發(fā)Web程序漏洞

　　攻擊者需要找到一處可以利用的漏洞。Be’ery指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù)Aorato的報告，當(dāng)所有其他已知的攻擊工具文件是Windows可執(zhí)行文件時，這就是一個在Web應(yīng)用程序內(nèi)運(yùn)行腳本的PHP文件。

　　“這個文件表明，攻擊者能夠通過利Web應(yīng)用程序中的一個漏洞上傳PHP文件，”Aorato報告顯示，原因可能Web應(yīng)用程序有一個用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在Web應(yīng)用程序中的事故，始終沒有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。

　　惡意腳本可能是一個“Web殼”，一個基Web并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之后Target就被通知數(shù)據(jù)泄露。

　　第四步：細(xì)心偵查

　　此時，攻擊者不得不放慢腳步，來細(xì)心做一些偵察。他們有能力運(yùn)行任意操作系統(tǒng)命令，但進(jìn)一步的行動還需要Target內(nèi)部網(wǎng)絡(luò)的情報，所以他們需要找到存儲客戶信息和信用卡數(shù)據(jù)的服務(wù)器。

　　目標(biāo)是Target的活動目錄，這包括數(shù)據(jù)域的所有成員：用戶、計算機(jī)和服務(wù)。他們能夠利用內(nèi)部Windows工具和LDAP協(xié)議查詢活動目錄。Aorato相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù)，然后通過查看服務(wù)器的名稱來推斷出每個服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來找到PoS-related機(jī)器的過程。利用攻擊目標(biāo)的名字，Aorato認(rèn)為，攻擊者將隨后獲得查詢DNS服務(wù)器的IP地址。

　　第五步：竊取域管理員訪問令牌

　　至此，Be’ery認(rèn)為，攻擊者已經(jīng)確定他們的目標(biāo)，但他們需要訪問權(quán)限尤其是域管理員權(quán)限來幫助他們。

　　基于前Target安全團(tuán)隊成員提供給記者Brian Krebs的信息，Aorato認(rèn)為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術(shù)來獲得一個NT令牌，讓他們模仿活動目錄管理員——至少直到實(shí)際的管理員去改變其密碼。

　　隨著這種技術(shù)的深入證實(shí)，Aorato指向了工具的使用，包括用于從內(nèi)存中登錄會話和NTLM憑證的滲透測試工具、提取域賬戶NT / LM歷史的散列密碼。

　　第六步：新的域管理員帳戶

　　上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當(dāng)試圖訪問一些需要顯示使用密碼的服務(wù)(如遠(yuǎn)程桌面)時，他就成為無效的。那么，下一步是創(chuàng)建一個新的域管理員帳戶。

　　攻擊者能夠使用他們竊取的特權(quán)來創(chuàng)建一個新帳戶，并將它添加到域管理組，將帳戶特權(quán)提供給攻擊者，同時也給攻擊者控制密碼的機(jī)會。

　　Be’ery說，這是攻擊者隱藏在普通場景中的另一個例子。新用戶名是與BMC Bladelogic服務(wù)器用戶名相同的“best1_user”。

　　“這是一個高度異常的模式”，Be’ery說，時刻留意監(jiān)視用戶列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進(jìn)行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界)，所以必須監(jiān)控訪問模式。

　　第七步：使用新的管理憑證傳播到有關(guān)計算機(jī)

　　用新的訪問憑證，攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標(biāo)。但是Aorato指出了其路徑中的兩個障礙：繞過防火墻和限制直接訪問相關(guān)目標(biāo)的其他網(wǎng)絡(luò)安全解決方案，并針對其攻擊目標(biāo)在各種機(jī)器上運(yùn)行遠(yuǎn)程程序。

　　Aorato說，攻擊者用“憤怒的IP掃描器”檢測連網(wǎng)電腦，穿過一系列的服務(wù)器來繞過安全工具。

　　至于在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行程序，攻擊者使用其憑證連接微軟PSExec應(yīng)用程序(在其他系統(tǒng)上執(zhí)行進(jìn)程的telnet-replacement)和Windows內(nèi)部遠(yuǎn)程桌面客戶端。

　　Aorato指出，這兩個工具都使用Active Directory用戶進(jìn)行身份驗(yàn)證和授權(quán)，這意味著一旦有人在搜尋，Active Directory將第一時間知曉。

　　一旦攻擊者訪問目標(biāo)系統(tǒng)，他們會使用微軟的協(xié)調(diào)器管理解決方案來獲得持續(xù)的訪問，這將允許他們在受攻擊的服務(wù)器上遠(yuǎn)程執(zhí)行任意代碼。

　　第八步：竊取PII 7000萬

　　Aorato說，在這一步，襲擊者使用SQL查詢工具來評估價數(shù)據(jù)庫服務(wù)器和檢索數(shù)據(jù)庫內(nèi)容的SQL批量復(fù)制工具的價值。這個過程，其實(shí)就是PCI合規(guī)所提出的黑客造成的嚴(yán)重數(shù)據(jù)泄露事故——4000萬信用卡。

　　當(dāng)攻擊者已經(jīng)成功訪問7000萬的Target目標(biāo)客戶時，它并沒有獲得進(jìn)入信用卡。攻擊者將不得不重組一個新的計劃。

　　既然Target符合PCI合規(guī)，數(shù)據(jù)庫不存儲任何信用卡的具體數(shù)據(jù)，因此他們不得不轉(zhuǎn)向B計劃來直接從銷售的角度竊取信用卡。

　　第九步：安裝惡意軟件 竊取4000萬信用卡

　　PoS系統(tǒng)很可能不是一個攻擊者的初始目標(biāo)。只有當(dāng)他們無法訪問服務(wù)器上的信用卡數(shù)據(jù)時，才會專注于將PoS機(jī)作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七步的遠(yuǎn)程執(zhí)行功能，襲擊者在PoS機(jī)上安裝了Kaptoxa。惡意軟件被用來掃描被感染機(jī)器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。

　　唯獨(dú)在這一步中，襲擊者會使用專門的惡意軟件而不是常見的工具。

　　“擁有防病毒工具也不會在這種情況下起到作用”他說，“當(dāng)賭注太高、利潤數(shù)千萬美元時，他們根本不介意創(chuàng)造特制工具的成本。”

　　第十步：通過網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

　　一旦惡意軟件獲取了信用卡數(shù)據(jù)，它就會使用Windows命令和域管理憑證在遠(yuǎn)程的FTP機(jī)器上創(chuàng)建一個遠(yuǎn)程文件共享，并會定期將本地文件復(fù)制到遠(yuǎn)程共享。Be’ery在此強(qiáng)調(diào)，這些活動會針對Activity

　　Directory獲得授權(quán)。

　　第十一步：通過FTP傳送竊取數(shù)據(jù)

　　最后，一旦數(shù)據(jù)到達(dá)FTP設(shè)備，可以使用Windows內(nèi)部的FTP客戶端將一個腳本將文件發(fā)送到已被攻擊者控制的FTP賬號。

　　初始滲透點(diǎn)并不是故事的終結(jié)，因?yàn)樽罱K你必須假設(shè)你最終將被攻擊。你必須做好準(zhǔn)備，并當(dāng)你被攻擊時必須有事件響應(yīng)計劃。當(dāng)惡意軟件可以使攻擊者能夠更深入地探索網(wǎng)絡(luò)時，真正的問題才會出現(xiàn)。如果你有正確的判斷力，問題將會真的顯示出來。

　　如何保護(hù)你的企業(yè)或組織

　　加強(qiáng)訪問控制。監(jiān)控文件訪問模式系統(tǒng)以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗(yàn)證進(jìn)入相關(guān)敏感系統(tǒng)，以減少與信用卡憑證相關(guān)的風(fēng)險。隔離網(wǎng)絡(luò)，并限制協(xié)議使用和用戶的過度特權(quán)。

　　• 監(jiān)控用戶的列表，時刻關(guān)注新添加用戶，尤其是有特權(quán)的用戶。

　　• 監(jiān)控偵察和信息收集的跡象，特別注意過度查詢和不正常的LDAP查詢。

　　• 考慮允許項(xiàng)目的白名單。

　　• 不要依賴反惡意軟件解決方案作為主要緩解措施，因?yàn)楣�擊者主要利用合法的工具�?/p>

　　• 在Active Directory上安裝安全與監(jiān)測控制設(shè)備，因?yàn)槠鋮⑴c幾乎所有階段的攻擊。

　　• 參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。
 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：黑客攻擊我們的11步詳解及防御建議

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121516348.html