黑客是如何一步步攻擊我們的 該如何防禦？

安全公司 Aorato 的一項新研究顯示，個人可識別資訊（PII）和信用卡及借記卡資料在今年年初的 Target 資料洩露實踐中遭到大規模偷竊後，該公司的 PCI 合規新計劃已經大幅降低了損害的範圍。

利用所有可用的公開報告，Aorato 的首席研究員 Tal Aorato ‘ery 及其團隊記錄了攻擊者用來攻擊 Target 的所有工具，並建立了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網路內傳播、並最終從 PoS 系統抓取信用卡資料的。關於事故的細節依舊模糊，但是 Be’ery 認為，有必要了解整個攻擊過程，因為黑客們依然存在。

跟蹤攻擊就像網路古生物學

而 Be’ery 承認，安全公司 Aorato 對於一些細節的描述可能是不正確的，但是他確信關於 Target 網路系統重建的言論是正確的。

“我喜歡稱之為網路古生物學”，Be’ery 說。有許多報告聲稱，在這個事件中湧現了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長什麼樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

2013 年 12 月，正值一年當中最繁忙購物季的中期，關於 Target 資料洩露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經獲取了 7000 萬消費者的個人身份資訊以及 4000 萬信用卡和借記卡的資料資訊。Target 的 CIO 和董事長、總裁兼執行長紛紛引咎辭職。分析師稱，預計經濟損失可能達到 10 億美元。

瞭解上述事件的大多數人都知道它始於竊取 Target 供應商的信用憑證。但攻擊者是如何從 Target 網路的邊界逐步滲透到核心業務系統？Be’ery 認為，攻擊者深思熟慮採取了 11 個步驟。

第一步：安裝竊取信用卡憑證的惡意軟體

攻擊者首先竊取了 Target 空調供應商 Fazio Mechanical Services 的憑證。根據首先打破合規故事的 Kreson Security，襲擊者首先通過電子郵件與惡意軟體開展了感染供應商的釣魚活動。

第二步：利用竊取的憑證建立連線

攻擊者使用竊取的憑證訪問 Target 致力於服務供應商的主頁。在違規發生後的公開宣告中，Fazio Mechanical Services 的主席和持有人 Ross

Fazio 表示，該公司不對 Target 的加熱、冷卻和製冷系統執行遠端監控。其與 Target 網路連線的資料是專門用於電子賬單、提交合同和專案管理的。

這個 Web 應用程式是非常有限的。雖然攻擊者現在可以使用託管在 Target 內部網路 Web 應用程式進入 Target，應用程式還是不允許任意命令執行，而這將在攻擊過程中是十分緊迫的。

第三步：開發 Web 程式漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery 指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據 Aorato 的報告，當所有其他已知的攻擊工具檔案是 Windows 可執行檔案時，這就是一個在 Web 應用程式內執行指令碼的 PHP 檔案。

“這個檔案表明，攻擊者能夠通過利 Web 應用程式中的一個漏洞上傳 PHP 檔案，”Aorato 報告顯示，原因可能 Web 應用程式有一個用以上傳發票等合法檔案的上傳功能。但正如經常發生在 Web 應用程式中的事故，始終沒有恰當的安全檢查以確保執行可執行檔案沒有上傳。

惡意指令碼可能是一個“Web 殼”，一個基 Web 並允許攻擊者上傳檔案和執行任意作業系統命令的後門。“攻擊者知道他們會在最後竊取信用卡並利用銀行卡獲取資金的環節引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之後 Target 就被通知資料洩露。

第四步：細心偵查

此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力執行任意作業系統命令，但進一步的行動還需要 Target 內部網路的情報，所以他們需要找到儲存客戶資訊和信用卡資料的伺服器。

目標是 Target 的活動目錄，這包括資料域的所有成員：使用者、計算機和服務。他們能夠利用內部 Windows 工具和 LDAP 協議查詢活動目錄。Aorato 相信，攻擊者只是檢索所有包含字串“MSSQLSvc”的服務，然後通過檢視伺服器的名稱來推斷出每個伺服器的目的。這也有可能是攻擊者稍後用以使用來找到 PoS-related 機器的過程。利用攻擊目標的名字，Aorato 認為，攻擊者將隨後獲得查詢 DNS 伺服器的 IP 地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery 認為，攻擊者已經確定他們的目標，但他們需要訪問許可權尤其是域管理員許可權來幫助他們。

基於前 Target 安全團隊成員提供給記者 Brian Krebs 的資訊，Aorato 認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術來獲得一個 NT 令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

隨著這種技術的深入證實，Aorato 指向了工具的使用，包括用於從記憶體中登入會話和 NTLM 憑證的滲透測試工具、提取域賬戶 NT / LM 歷史的雜湊密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當試圖訪問一些需要顯示使用密碼的服務(如遠端桌面)時，他就成為無效的。那麼，下一步是建立一個新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權來建立一個新帳戶，並將它新增到域管理組，將帳戶特權提供給攻擊者，同時也給攻擊者控制密碼的機會。

Be’ery 說，這是攻擊者隱藏在普通場景中的另一個例子。新使用者名稱是與 BMC Bladelogic 伺服器使用者名稱相同的“best1_user”。

“這是一個高度異常的模式”，Be’ery 說，時刻留意監視使用者列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關注網路世界)，所以必須監控訪問模式。

第七步：使用新的管理憑證傳播到有關計算機

用新的訪問憑證，攻擊者現在可以繼續追求其攻擊目標。但是 Aorato 指出了其路徑中的兩個障礙：繞過防火牆和限制直接訪問相關目標的其他網路安全解決方案，並針對其攻擊目標在各種機器上執行遠端程式。

Aorato 說，攻擊者用“憤怒的 IP 掃描器”檢測連網電腦，穿過一系列的伺服器來繞過安全工具。

至於在目標伺服器上遠端執行程式，攻擊者使用其憑證連線微軟 PSExec 應用程式(在其他系統上執行程式的 telnet-replacement)和 Windows 內部遠端桌面客戶端。

Aorato 指出，這兩個工具都使用 Active Directory 使用者進行身份驗證和授權，這意味著一旦有人在搜尋，Active Directory 將第一時間知曉。

一旦攻擊者訪問目標系統，他們會使用微軟的協調器管理解決方案來獲得持續的訪問，這將允許他們在受攻擊的伺服器上遠端執行任意程式碼。

第八步：竊取 PII 7000 萬

Aorato 說，在這一步，襲擊者使用 SQL 查詢工具來評估價資料庫伺服器和檢索資料庫內容的 SQL 批量複製工具的價值。這個過程，其實就是 PCI 合規所提出的黑客造成的嚴重資料洩露事故——4000 萬信用卡。

當攻擊者已經成功訪問 7000 萬的 Target 目標客戶時，它並沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

既然 Target 符合 PCI 合規，資料庫不儲存任何信用卡的具體資料，因此他們不得不轉向B計劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟體竊取 4000 萬信用卡

PoS 系統很可能不是一個攻擊者的初始目標。只有當他們無法訪問伺服器上的信用卡資料時，才會專注於將 PoS 機作為應急。在第四步中使用網路和第七步的遠端執行功能，襲擊者在 PoS 機上安裝了 Kaptoxa。惡意軟體被用來掃描被感染機器的記憶體並儲存本地檔案上發現的所有信用卡資料。

唯獨在這一步中，襲擊者會使用專門的惡意軟體而不是常見的工具。

“擁有防病毒工具也不會在這種情況下起到作用”他說，“當賭注太高、利潤數千萬美元時，他們根本不介意創造特製工具的成本。”

第十步：通過網路共享傳遞竊取資料

一旦惡意軟體獲取了信用卡資料，它就會使用 Windows 命令和域管理憑證在遠端的 FTP 機器上建立一個遠端檔案共享，並會定期將本地檔案複製到遠端共享。Be’ery 在此強調，這些活動會針對 Activity

Directory 獲得授權。

第十一步：通過 FTP 傳送竊取資料

最後，一旦資料到達 FTP 裝置，可以使用 Windows 內部的 FTP 客戶端將一個指令碼將檔案傳送到已被攻擊者控制的 FTP 賬號。

初始滲透點並不是故事的終結，因為最終你必須假設你最終將被攻擊。你必須做好準備，並當你被攻擊時必須有事件響應計劃。當惡意軟體可以使攻擊者能夠更深入地探索網路時，真正的問題才會出現。如果你有正確的判斷力，問題將會真的顯示出來。

如何保護你的企業或組織

加強訪問控制。監控檔案訪問模式系統以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關敏感系統，以減少與信用卡憑證相關的風險。隔離網路，並限制協議使用和使用者的過度特權。

• 監控使用者的列表，時刻關注新新增使用者，尤其是有特權的使用者。
• 監控偵察和資訊收集的跡象，特別注意過度查詢和不正常的 LDAP 查詢。
• 考慮允許專案的白名單。
• 不要依賴反惡意軟體解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。
• 在 Active Directory 上安裝安全與監測控制裝置，因為其參與幾乎所有階段的攻擊。
• 參與資訊共享和分析中心(ISAC)和網路情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰術、技術和程式(TTPs)。