■張建國(guó)

黑客攻擊我們的11步詳解及防御建議

■張建國(guó)

安全公司Aorato的一項(xiàng)新研究顯示，個(gè)人可識(shí)別信息（PII）和信用卡及借記卡數(shù)據(jù)在今年年初的Target數(shù)據(jù)泄露實(shí)踐中遭到大規(guī)模偷竊后，該公司的PCI合規(guī)新計(jì)劃已經(jīng)大幅降低了損害的范圍。

利用所有可用的公開(kāi)報(bào)告，Aorato的首席研究員Tal Aorato‘ery及其團(tuán)隊(duì)記錄了攻擊者用來(lái)攻擊Target的所有工具，并創(chuàng)建了一個(gè)循序漸進(jìn)的過(guò)程，來(lái)講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從PoS系統(tǒng)抓取信用卡數(shù)據(jù)的。

跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)

Be’ery承認(rèn)，“我喜歡稱(chēng)之為網(wǎng)絡(luò)古生物學(xué)”。有許多報(bào)告聲稱(chēng)，在這個(gè)事件中涌現(xiàn)了很多攻擊工具，但是他們沒(méi)有解釋攻擊者究竟是如何使用這些工具的。

2013年12月，正值一年當(dāng)中最繁忙購(gòu)物季的中期，關(guān)于Target數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流，日益清晰的是攻擊者已經(jīng)獲取了7000萬(wàn)消費(fèi)者的個(gè)人身份信息以及4000萬(wàn)信用卡和借記卡的數(shù)據(jù)信息。Target的CIO和董事長(zhǎng)、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱(chēng)，預(yù)計(jì)經(jīng)濟(jì)損失可能達(dá)到10億美元。

了解上述事件的大多數(shù)人都知道它始于竊取Target供應(yīng)商的信用憑證。但攻擊者是如何從Target網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)？Be’ery認(rèn)為，攻擊者深思熟慮采取了11個(gè)步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了Target空調(diào)供應(yīng)商Fazio Mechanical Services的憑證。根據(jù)首先打破合規(guī)故事的Kreson Security，襲擊者首先通過(guò)電子郵件與惡意軟件開(kāi)展了感染供應(yīng)商的釣魚(yú)活動(dòng)。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪(fǎng)問(wèn)Target致力于服務(wù)供應(yīng)商的主頁(yè)。在違規(guī)發(fā)生后的公開(kāi)聲明中，F(xiàn)azio Mechanical Services的主席和持有人Ross Fazio表示，該公司不對(duì)Target的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與Target網(wǎng)絡(luò)連接的數(shù)據(jù)是專(zhuān)門(mén)用于電子賬單、提交合同和項(xiàng)目管理的。

第三步：開(kāi)發(fā)Web程序漏洞

攻擊者需要找到一處可以利用的漏洞?！案鶕?jù)Aorato的報(bào)告，當(dāng)所有其他已知的攻擊工具文件是Windows可執(zhí)行文件時(shí)，這就是一個(gè)在Web應(yīng)用程序內(nèi)運(yùn)行腳本的PHP文件。

“這個(gè)文件表明，攻擊者能夠通過(guò)利Web應(yīng)用程序中的一個(gè)漏洞上傳PHP文件，”Aorato報(bào)告顯示，原因可能Web應(yīng)用程序有一個(gè)用以上傳發(fā)票等合法文件的上傳功能。

惡意腳本可能是一個(gè)“Web殼”，一個(gè)基Web并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門(mén)?！肮粽咧浪麄儠?huì)在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意，”他解釋說(shuō)。他們?cè)诤谑猩铣鍪哿诵庞每ㄌ?hào)碼，不久之后Target就被通知數(shù)據(jù)泄露。

第四步：細(xì)心偵查

此時(shí)，攻擊者不得不放慢腳步，來(lái)細(xì)心做一些偵察。他們有能力運(yùn)行任意操作系統(tǒng)命令，但進(jìn)一步的行動(dòng)還需要Target內(nèi)部網(wǎng)絡(luò)的情報(bào)，所以他們需要找到存儲(chǔ)客戶(hù)信息和信用卡數(shù)據(jù)的服務(wù)器。

目標(biāo)是Target的活動(dòng)目錄，這包括數(shù)據(jù)域的所有成員：用戶(hù)、計(jì)算機(jī)和服務(wù)。他們能夠利用內(nèi)部Windows工具和LDAP協(xié)議查詢(xún)活動(dòng)目錄。Aorato相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù)，然后通過(guò)查看服務(wù)器的名稱(chēng)來(lái)推斷出每個(gè)服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來(lái)找到PoS-related機(jī)器的過(guò)程。利用攻擊目標(biāo)的名字，Aorato認(rèn)為，攻擊者將隨后獲得查詢(xún)DNS服務(wù)器的IP地址。

第五步：竊取域管理員訪(fǎng)問(wèn)令牌

至此，Be’ery認(rèn)為，攻擊者已經(jīng)確定他們的目標(biāo)，但他們需要訪(fǎng)問(wèn)權(quán)限尤其是域管理員權(quán)限來(lái)幫助他們。

基于前Target安全團(tuán)隊(duì)成員提供給記者Brian Krebs的信息，Aorato認(rèn)為，攻擊者使用一個(gè)名為“Pass-the-Hash”的攻擊技術(shù)來(lái)獲得一個(gè)NT令牌，讓他們模仿活動(dòng)目錄管理員——至少直到實(shí)際的管理員去改變其密碼。

隨著這種技術(shù)的深入證實(shí)，Aorato指向了工具的使用，包括用于從內(nèi)存中登錄會(huì)話(huà)和NTLM憑證的滲透測(cè)試工具、提取域賬戶(hù)NT/LM歷史的散列密碼。

第六步：新的域管理員帳戶(hù)

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當(dāng)試圖訪(fǎng)問(wèn)一些需要顯示使用密碼的服務(wù)(如遠(yuǎn)程桌面)時(shí)，他就成為無(wú)效的。那么，下一步是創(chuàng)建一個(gè)新的域管理員帳戶(hù)。

攻擊者能夠使用他們竊取的特權(quán)來(lái)創(chuàng)建一個(gè)新帳戶(hù)，并將它添加到域管理組，將帳戶(hù)特權(quán)提供給攻擊者，同時(shí)也給攻擊者控制密碼的機(jī)會(huì)。

Be’ery說(shuō)，這是攻擊者隱藏在普通場(chǎng)景中的另一個(gè)例子。新用戶(hù)名是與BMC Bladelogic服務(wù)器用戶(hù)名相同的“best1_user”。

“這是一個(gè)高度異常的模式”，Be’ery說(shuō)，時(shí)刻留意監(jiān)視用戶(hù)列表的簡(jiǎn)單步驟和新增等敏感管理員賬戶(hù)都可以對(duì)攻擊者進(jìn)行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界)，所以必須監(jiān)控訪(fǎng)問(wèn)模式。

第七步：使用新的管理憑證傳播到有關(guān)計(jì)算機(jī)

用新的訪(fǎng)問(wèn)憑證，攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標(biāo)。但是Aorato指出了其路徑中的兩個(gè)障礙：繞過(guò)防火墻和限制直接訪(fǎng)問(wèn)相關(guān)目標(biāo)的其他網(wǎng)絡(luò)安全解決方案，并針對(duì)其攻擊目標(biāo)在各種機(jī)器上運(yùn)行遠(yuǎn)程程序。

Aorato說(shuō)，攻擊者用“憤怒的IP掃描器”檢測(cè)連網(wǎng)電腦，穿過(guò)一系列的服務(wù)器來(lái)繞過(guò)安全工具。

至于在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行程序，攻擊者使用其憑證連接微軟PSExec應(yīng)用程序 (在其他系統(tǒng)上執(zhí)行進(jìn)程的telnet-replacement)和Windows內(nèi)部遠(yuǎn)程桌面客戶(hù)端。

Aorato指出，這2個(gè)工具都使用Active Directory用戶(hù)進(jìn)行身份驗(yàn)證和授權(quán)，這意味著一旦有人在搜尋，Active Directory將第一時(shí)間知曉。

一旦攻擊者訪(fǎng)問(wèn)目標(biāo)系統(tǒng)，他們會(huì)使用微軟的協(xié)調(diào)器管理解決方案來(lái)獲得持續(xù)的訪(fǎng)問(wèn)，這將允許他們?cè)谑芄舻姆?wù)器上遠(yuǎn)程執(zhí)行任意代碼。

第八步：竊取PII 7000萬(wàn)

Aorato說(shuō)，在這一步，襲擊者使用SQL查詢(xún)工具來(lái)評(píng)估價(jià)數(shù)據(jù)庫(kù)服務(wù)器和檢索數(shù)據(jù)庫(kù)內(nèi)容的SQL批量復(fù)制工具的價(jià)值。這個(gè)過(guò)程，其實(shí)就是PCI合規(guī)所提出的黑客造成的嚴(yán)重?cái)?shù)據(jù)泄露事故——4000萬(wàn)信用卡。

當(dāng)攻擊者已經(jīng)成功訪(fǎng)問(wèn)7000萬(wàn)的Target目標(biāo)客戶(hù)時(shí)，它并沒(méi)有獲得進(jìn)入信用卡。攻擊者將不得不重組一個(gè)新的計(jì)劃。

既然Target符合PCI合規(guī)，數(shù)據(jù)庫(kù)不存儲(chǔ)任何信用卡的具體數(shù)據(jù)，因此他們不得不轉(zhuǎn)向B計(jì)劃來(lái)直接從銷(xiāo)售的角度竊取信用卡。

第九步：安裝惡意軟件竊取4000萬(wàn)信用卡

PoS系統(tǒng)很可能不是一個(gè)攻擊者的初始目標(biāo)。只有當(dāng)他們無(wú)法訪(fǎng)問(wèn)服務(wù)器上的信用卡數(shù)據(jù)時(shí)，才會(huì)專(zhuān)注于將PoS機(jī)作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七步的遠(yuǎn)程執(zhí)行功能，襲擊者在PoS機(jī)上安裝了Kaptoxa。惡意軟件被用來(lái)掃描被感染機(jī)器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。唯獨(dú)在這一步中，襲擊者會(huì)使用專(zhuān)門(mén)的惡意軟件而不是常見(jiàn)的工具。

第十步：通過(guò)網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

一旦惡意軟件獲取了信用卡數(shù)據(jù)，它就會(huì)使用Windows命令和域管理憑證在遠(yuǎn)程的FTP機(jī)器上創(chuàng)建一個(gè)遠(yuǎn)程文件共享，并會(huì)定期將本地文件復(fù)制到遠(yuǎn)程共享。Be’ery在此強(qiáng)調(diào)，這些活動(dòng)會(huì)針對(duì)Activity Directory獲得授權(quán)。

第十一步：通過(guò)FTP傳送竊取數(shù)據(jù)

最后，一旦數(shù)據(jù)到達(dá)FTP設(shè)備，可以使用Windows內(nèi)部的FTP客戶(hù)端將一個(gè)腳本將文件發(fā)送到已被攻擊者控制的FTP賬號(hào)。

初始滲透點(diǎn)并不是故事的終結(jié)，因?yàn)樽罱K你必須假設(shè)你最終將被攻擊。

如何保護(hù)你的企業(yè)或組織

加強(qiáng)訪(fǎng)問(wèn)控制。監(jiān)控文件訪(fǎng)問(wèn)模式系統(tǒng)以識(shí)別異常和流氓訪(fǎng)問(wèn)模式。在可能的情況下，使用多因素身份驗(yàn)證進(jìn)入相關(guān)敏感系統(tǒng)，以減少與信用卡憑證相關(guān)的風(fēng)險(xiǎn)。隔離網(wǎng)絡(luò)，并限制協(xié)議使用和用戶(hù)的過(guò)度特權(quán)。

監(jiān)控用戶(hù)的列表，時(shí)刻關(guān)注新添加用戶(hù)，尤其是有特權(quán)的用戶(hù)。

監(jiān)控偵察和信息收集的跡象，特別注意過(guò)度查詢(xún)和不正常的LDAP查詢(xún)。

考慮允許項(xiàng)目的白名單。

不要依賴(lài)反惡意軟件解決方案作為主要緩解措施，因?yàn)楣粽咧饕煤戏ǖ墓ぞ摺?/p>

在A(yíng)ctive Directory上安裝安全與監(jiān)測(cè)控制設(shè)備，因?yàn)槠鋮⑴c幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報(bào)共享中心(CISC)組織，以獲得情報(bào)襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。