黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但如今,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙.
安全公司 Aorato 的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的 Target 数据泄露实践中遭到大规模偷窃后,该公司的 PCI 合规新计划已经大幅降低了损害的范围。
利用所有可用的公开报告,Aorato 的首席研究员 Tal Aorato ‘ery 及其团队记录了攻击者用来攻击 Target 的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从 PoS 系统抓取信用卡数据的。关于事故的细节依旧模糊,但是 Be’ery 认为,有必要了解整个攻击过程,因为黑客们依然存在。
跟踪攻击就像网络古生物学
而 Be’ery 承认,安全公司 Aorato 对于一些细节的描述可能是不正确的,但是他确信关于 Target 网络系统重建的言论是正确的。
“我喜欢称之为网络古生物学”,Be’ery 说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。
2013 年 12 月,正值一年当中最繁忙购物季的中期,关于 Target 数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了 7000 万消费者的个人身份信息以及 4000 万信用卡和借记卡的数据信息。Target 的 CIO 和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到 10 亿美元。
了解上述事件的大多数人都知道它始于窃取 Target 供应商的信用凭证。但攻击者是如何从 Target 网络的边界逐步渗透到核心业务系统?Be’ery 认为,攻击者深思熟虑采取了 11 个步骤。
第一步:安装窃取信用卡凭证的恶意软件
攻击者首先窃取了 Target 空调供应商 Fazio Mechanical Services 的凭证。根据首先打破合规故事的 Kreson Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。
第二步:利用窃取的凭证建立连接
攻击者使用窃取的凭证访问 Target 致力于服务供应商的主页。在违规发生后的公开声明中,Fazio Mechanical Services 的主席和持有人 Ross
Fazio 表示,该公司不对 Target 的加热、冷却和制冷系统执行远程监控。其与 Target 网络连接的数据是专门用于电子账单、提交合同和项目管理的。
这个 Web 应用程序是非常有限的。虽然攻击者现在可以使用托管在 Target 内部网络 Web 应用程序进入 Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。
第三步:开发 Web 程序漏洞
攻击者需要找到一处可以利用的漏洞。Be’ery 指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据 Aorato 的报告,当所有其他已知的攻击工具文件是 Windows 可执行文件时,这就是一个在 Web 应用程序内运行脚本的 PHP 文件。
“这个文件表明,攻击者能够通过利 Web 应用程序中的一个漏洞上传 PHP 文件,”Aorato 报告显示,原因可能 Web 应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在 Web 应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。
恶意脚本可能是一个“Web 壳”,一个基 Web 并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后 Target 就被通知数据泄露。
第四步:细心侦查
此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要 Target 内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。
目标是 Target 的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部 Windows 工具和 LDAP 协议查询活动目录。Aorato 相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到 PoS-related 机器的过程。利用攻击目标的名字,Aorato 认为,攻击者将随后获得查询 DNS 服务器的 IP 地址。
第五步:窃取域管理员访问令牌
至此,Be’ery 认为,攻击者已经确定他们的目标,但他们需要访问权限尤其是域管理员权限来帮助他们。
基于前 Target 安全团队成员提供给记者 Brian Krebs 的信息,Aorato 认为,攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个 NT 令牌,让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。
随着这种技术的深入证实,Aorato 指向了工具的使用,包括用于从内存中登录会话和 NTLM 凭证的渗透测试工具、提取域账户 NT / LM 历史的散列密码。
第六步:新的域管理员帐户
上一步允许攻击者伪装成域管理员,然而一旦受害者改变了密码,或者当试图访问一些需要显示使用密码的服务(如远程桌面)时,他就成为无效的。那么,下一步是创建一个新的域管理员帐户。
攻击者能够使用他们窃取的特权来创建一个新帐户,并将它添加到域管理组,将帐户特权提供给攻击者,同时也给攻击者控制密码的机会。
Be’ery 说,这是攻击者隐藏在普通场景中的另一个例子。新用户名是与 BMC Bladelogic 服务器用户名相同的“best1_user”。
“这是一个高度异常的模式”,Be’ery 说,时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界),所以必须监控访问模式。
第七步:使用新的管理凭证传播到有关计算机
用新的访问凭证,攻击者现在可以继续追求其攻击目标。但是 Aorato 指出了其路径中的两个障碍:绕过防火墙和限制直接访问相关目标的其他网络安全解决方案,并针对其攻击目标在各种机器上运行远程程序。
Aorato 说,攻击者用“愤怒的 IP 扫描器”检测连网电脑,穿过一系列的服务器来绕过安全工具。
至于在目标服务器上远程执行程序,攻击者使用其凭证连接微软 PSExec 应用程序(在其他系统上执行进程的 telnet-replacement)和 Windows 内部远程桌面客户端。
Aorato 指出,这两个工具都使用 Active Directory 用户进行身份验证和授权,这意味着一旦有人在搜寻,Active Directory 将第一时间知晓。
一旦攻击者访问目标系统,他们会使用微软的协调器管理解决方案来获得持续的访问,这将允许他们在受攻击的服务器上远程执行任意代码。
第八步:窃取PII 7000 万
Aorato 说,在这一步,袭击者使用 SQL 查询工具来评估价数据库服务器和检索数据库内容的 SQL 批量复制工具的价值。这个过程,其实就是 PCI 合规所提出的黑客造成的严重数据泄露事故——4000 万信用卡。
当攻击者已经成功访问 7000 万的 Target 目标客户时,它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。
既然 Target 符合 PCI 合规,数据库不存储任何信用卡的具体数据,因此他们不得不转向B计划来直接从销售的角度窃取信用卡。
第九步:安装恶意软件窃取 4000 万信用卡
PoS 系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时,才会专注于将 PoS 机作为应急。在第四步中使用网络和第七步的远程执行功能,袭击者在 PoS 机上安装了 Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。
唯独在这一步中,袭击者会使用专门的恶意软件而不是常见的工具。
“拥有防病毒工具也不会在这种情况下起到作用”他说,“当赌注太高、利润数千万美元时,他们根本不介意创造特制工具的成本。”
第十步:通过网络共享传递窃取数据
一旦恶意软件获取了信用卡数据,它就会使用 Windows 命令和域管理凭证在远程的 FTP 机器上创建一个远程文件共享,并会定期将本地文件复制到远程共享。Be’ery 在此强调,这些活动会针对 Activity
Directory 获得授权。
第十一步:通过 FTP 传送窃取数据
最后,一旦数据到达 FTP 设备,可以使用 Windows 内部的 FTP 客户端将一个脚本将文件发送到已被攻击者控制的 FTP 账号。
初始渗透点并不是故事的终结,因为最终你必须假设你最终将被攻击。你必须做好准备,并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时,真正的问题才会出现。如果你有正确的判断力,问题将会真的显示出来。
如何保护你的企业或组织
加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证进入相关敏感系统,以减少与信用卡凭证相关的风险。隔离网络,并限制协议使用和用户的过度特权。
监控用户的列表,时刻关注新添加用户,尤其是有特权的用户。
监控侦察和信息收集的迹象,特别注意过度查询和不正常的 LDAP 查询。
考虑允许项目的白名单。
不要依赖反恶意软件解决方案作为主要缓解措施,因为攻击者主要利用合法的工具。
在 Active Directory 上安装安全与监测控制设备,因为其参与几乎所有阶段的攻击。
参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组织,以获得情报袭击者宝贵的战术、技术和程序(TTPs)。
