黑客攻擊我們的11步詳解及防禦建議

　　安全公司Aorato的一項新研究顯示，個人可識別資訊（PII）和信用卡及借記卡資料在今年年初的Target資料洩露實踐中遭到大規模偷竊後，該公司的PCI合規新計劃已經大幅降低了損害的範圍。

　　利用所有可用的公開報告，Aorato的首席研究員Tal Aorato ‘ery及其團隊記錄了攻擊者用來攻擊Target的所有工具，並建立了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網路內傳播、並最終從PoS系統抓取信用卡資料的。關於事故的細節依舊模糊，但是Be’ery認為，有必要了解整個攻擊過程，因為黑客們依然存在。

　跟蹤攻擊就像網路古生物學

　　而Be’ery承認，安全公司Aorato對於一些細節的描述可能是不正確的，但是他確信關於Target網路系統重建的言論是正確的。

　　“我喜歡稱之為網路古生物學”，Be’ery說。有許多報告聲稱，在這個事件中湧現了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長什麼樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

　　2013年12月，正值一年當中最繁忙購物季的中期，關於Target資料洩露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經獲取了7000萬消費者的個人身份資訊以及4000萬信用卡和借記卡的資料資訊。Target的CIO和董事長、總裁兼執行長紛紛引咎辭職。分析師稱，預計經濟損失可能達到10億美元。

　　瞭解上述事件的大多數人都知道它始於竊取Target供應商的信用憑證。但攻擊者是如何從Target網路的邊界逐步滲透到核心業務系統？Be’ery認為，攻擊者深思熟慮採取了11個步驟。

　第一步：安裝竊取信用卡憑證的惡意軟體

　　攻擊者首先竊取了Target空調供應商Fazio Mechanical Services的憑證。根據首先打破合規故事的Kreson Security，襲擊者首先通過電子郵件與惡意軟體開展了感染供應商的釣魚活動。

　第二步：利用竊取的憑證建立連線

　　攻擊者使用竊取的憑證訪問Target致力於服務供應商的主頁。在違規發生後的公開宣告中，Fazio Mechanical Services的主席和持有人Ross Fazio表示，該公司不對Target的加熱、冷卻和製冷系統執行遠端監控。其與Target網路連線的資料是專門用於電子賬單、提交合同和專案管理的。

　　這個Web應用程式是非常有限的。雖然攻擊者現在可以使用託管在Target內部網路Web應用程式進入Target，應用程式還是不允許任意命令執行，而這將在攻擊過程中是十分緊迫的。

　第三步：開發Web程式漏洞

　　攻擊者需要找到一處可以利用的漏洞。Be’ery指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據Aorato的報告，當所有其他已知的攻擊工具檔案是Windows可執行檔案時，這就是一個在Web應用程式內執行指令碼的PHP檔案。

　　“這個檔案表明，攻擊者能夠通過利Web應用程式中的一個漏洞上傳PHP檔案，”Aorato報告顯示，原因可能Web應用程式有一個用以上傳發票等合法檔案的上傳功能。但正如經常發生在Web應用程式中的事故，始終沒有恰當的安全檢查以確保執行可執行檔案沒有上傳。

　　惡意指令碼可能是一個“Web殼”，一個基Web並允許攻擊者上傳檔案和執行任意作業系統命令的後門。“攻擊者知道他們會在最後竊取信用卡並利用銀行卡獲取資金的環節引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之後Target就被通知資料洩露。

　第四步：細心偵查

　　此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力執行任意作業系統命令，但進一步的行動還需要Target內部網路的情報，所以他們需要找到儲存客戶資訊和信用卡資料的伺服器。

　　目標是Target的活動目錄，這包括資料域的所有成員：使用者、計算機和服務。他們能夠利用內部Windows工具和LDAP協議查詢活動目錄。Aorato相信，攻擊者只是檢索所有包含字串“MSSQLSvc”的服務，然後通過檢視伺服器的名稱來推斷出每個伺服器的目的。這也有可能是攻擊者稍後用以使用來找到PoS-related機器的過程。利用攻擊目標的名字，Aorato認為，攻擊者將隨後獲得查詢DNS伺服器的IP地址。

　第五步：竊取域管理員訪問令牌

　　至此，Be’ery認為，攻擊者已經確定他們的目標，但他們需要訪問許可權尤其是域管理員許可權來幫助他們。

　　基於前Target安全團隊成員提供給記者Brian Krebs的資訊，Aorato認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術來獲得一個NT令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

　　隨著這種技術的深入證實，Aorato指向了工具的使用，包括用於從記憶體中登入會話和NTLM憑證的滲透測試工具、提取域賬戶NT / LM歷史的雜湊密碼。

　第六步：新的域管理員帳戶

　　上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當試圖訪問一些需要顯示使用密碼的服務(如遠端桌面)時，他就成為無效的。那麼，下一步是建立一個新的域管理員帳戶。

　　攻擊者能夠使用他們竊取的特權來建立一個新帳戶，並將它新增到域管理組，將帳戶特權提供給攻擊者，同時也給攻擊者控制密碼的機會。

　　Be’ery說，這是攻擊者隱藏在普通場景中的另一個例子。新使用者名稱是與BMC Bladelogic伺服器使用者名稱相同的“best1_user”。

　　“這是一個高度異常的模式”，Be’ery說，時刻留意監視使用者列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關注網路世界)，所以必須監控訪問模式。

　第七步：使用新的管理憑證傳播到有關計算機

　　用新的訪問憑證，攻擊者現在可以繼續追求其攻擊目標。但是Aorato指出了其路徑中的兩個障礙：繞過防火牆和限制直接訪問相關目標的其他網路安全解決方案，並針對其攻擊目標在各種機器上執行遠端程式。

　　Aorato說，攻擊者用“憤怒的IP掃描器”檢測連網電腦，穿過一系列的伺服器來繞過安全工具。

　　至於在目標伺服器上遠端執行程式，攻擊者使用其憑證連線微軟PSExec應用程式(在其他系統上執行程式的telnet-replacement)和Windows內部遠端桌面客戶端。

　　Aorato指出，這兩個工具都使用Active Directory使用者進行身份驗證和授權，這意味著一旦有人在搜尋，Active Directory將第一時間知曉。

　　一旦攻擊者訪問目標系統，他們會使用微軟的協調器管理解決方案來獲得持續的訪問，這將允許他們在受攻擊的伺服器上遠端執行任意程式碼。

　第八步：竊取PII 7000萬

　　Aorato說，在這一步，襲擊者使用SQL查詢工具來評估價資料庫伺服器和檢索資料庫內容的SQL批量複製工具的價值。這個過程，其實就是PCI合規所提出的黑客造成的嚴重資料洩露事故——4000萬信用卡。

　　當攻擊者已經成功訪問7000萬的Target目標客戶時，它並沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

　　既然Target符合PCI合規，資料庫不儲存任何信用卡的具體資料，因此他們不得不轉向B計劃來直接從銷售的角度竊取信用卡。

　第九步：安裝惡意軟體 竊取4000萬信用卡

　　PoS系統很可能不是一個攻擊者的初始目標。只有當他們無法訪問伺服器上的信用卡資料時，才會專注於將PoS機作為應急。在第四步中使用網路和第七步的遠端執行功能，襲擊者在PoS機上安裝了Kaptoxa。惡意軟體被用來掃描被感染機器的記憶體並儲存本地檔案上發現的所有信用卡資料。

　　唯獨在這一步中，襲擊者會使用專門的惡意軟體而不是常見的工具。

　　“擁有防病毒工具也不會在這種情況下起到作用”他說，“當賭注太高、利潤數千萬美元時，他們根本不介意創造特製工具的成本。”

　第十步：通過網路共享傳遞竊取資料

　　一旦惡意軟體獲取了信用卡資料，它就會使用Windows命令和域管理憑證在遠端的FTP機器上建立一個遠端檔案共享，並會定期將本地檔案複製到遠端共享。Be’ery在此強調，這些活動會針對Activity Directory獲得授權。

　第十一步：通過FTP傳送竊取資料

　　最後，一旦資料到達FTP裝置，可以使用Windows內部的FTP客戶端將一個指令碼將檔案傳送到已被攻擊者控制的FTP賬號。

　　初始滲透點並不是故事的終結，因為最終你必須假設你最終將被攻擊。你必須做好準備，並當你被攻擊時必須有事件響應計劃。當惡意軟體可以使攻擊者能夠更深入地探索網路時，真正的問題才會出現。如果你有正確的判斷力，問題將會真的顯示出來。

　如何保護你的企業或組織

　　加強訪問控制。監控檔案訪問模式系統以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關敏感系統，以減少與信用卡憑證相關的風險。隔離網路，並限制協議使用和使用者的過度特權。

• 監控使用者的列表，時刻關注新新增使用者，尤其是有特權的使用者。
• 監控偵察和資訊收集的跡象，特別注意過度查詢和不正常的LDAP查詢。
• 考慮允許專案的白名單。
• 不要依賴反惡意軟體解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。
• 在Active Directory上安裝安全與監測控制裝置，因為其參與幾乎所有階段的攻擊。
• 參與資訊共享和分析中心(ISAC)和網路情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰術、技術和程式(TTPs)。

　　via:http://www.techug.com/11-processes-of-hacker-attack-up