黑客攻擊我們的11步詳解及防御建議

■張建國

黑客攻擊我們的11步詳解及防御建議

■張建國

安全公司Aorato的一項新研究顯示，個人可識別信息（PII）和信用卡及借記卡數據在今年年初的Target數據泄露實踐中遭到大規模偷竊后，該公司的PCI合規新計劃已經大幅降低了損害的范圍。

利用所有可用的公開報告，Aorato的首席研究員Tal Aorato‘ery及其團隊記錄了攻擊者用來攻擊Target的所有工具，并創建了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網絡內傳播、并最終從PoS系統抓取信用卡數據的。

跟蹤攻擊就像網絡古生物學

Be’ery承認，“我喜歡稱之為網絡古生物學”。有許多報告聲稱，在這個事件中涌現了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。

2013年12月，正值一年當中最繁忙購物季的中期，關于Target數據泄露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經獲取了7000萬消費者的個人身份信息以及4000萬信用卡和借記卡的數據信息。Target的CIO和董事長、總裁兼首席執行官紛紛引咎辭職。分析師稱，預計經濟損失可能達到10億美元。

了解上述事件的大多數人都知道它始于竊取Target供應商的信用憑證。但攻擊者是如何從Target網絡的邊界逐步滲透到核心業務系統？Be’ery認為，攻擊者深思熟慮采取了11個步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了Target空調供應商Fazio Mechanical Services的憑證。根據首先打破合規故事的Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應商的釣魚活動。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問Target致力于服務供應商的主頁。在違規發生后的公開聲明中，Fazio Mechanical Services的主席和持有人Ross Fazio表示，該公司不對Target的加熱、冷卻和制冷系統執行遠程監控。其與Target網絡連接的數據是專門用于電子賬單、提交合同和項目管理的。

第三步：開發Web程序漏洞

攻擊者需要找到一處可以利用的漏洞。“根據Aorato的報告，當所有其他已知的攻擊工具文件是Windows可執行文件時，這就是一個在Web應用程序內運行腳本的PHP文件。

“這個文件表明，攻擊者能夠通過利Web應用程序中的一個漏洞上傳PHP文件，”Aorato報告顯示，原因可能Web應用程序有一個用以上傳發票等合法文件的上傳功能。

惡意腳本可能是一個“Web殼”，一個基Web并允許攻擊者上傳文件和執行任意操作系統命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環節引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之后Target就被通知數據泄露。

第四步：細心偵查

此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力運行任意操作系統命令，但進一步的行動還需要Target內部網絡的情報，所以他們需要找到存儲客戶信息和信用卡數據的服務器。

目標是Target的活動目錄，這包括數據域的所有成員：用戶、計算機和服務。他們能夠利用內部Windows工具和LDAP協議查詢活動目錄。Aorato相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務，然后通過查看服務器的名稱來推斷出每個服務器的目的。這也有可能是攻擊者稍后用以使用來找到PoS-related機器的過程。利用攻擊目標的名字，Aorato認為，攻擊者將隨后獲得查詢DNS服務器的IP地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery認為，攻擊者已經確定他們的目標，但他們需要訪問權限尤其是域管理員權限來幫助他們。

基于前Target安全團隊成員提供給記者Brian Krebs的信息，Aorato認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術來獲得一個NT令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

隨著這種技術的深入證實，Aorato指向了工具的使用，包括用于從內存中登錄會話和NTLM憑證的滲透測試工具、提取域賬戶NT/LM歷史的散列密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當試圖訪問一些需要顯示使用密碼的服務(如遠程桌面)時，他就成為無效的。那么，下一步是創建一個新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權來創建一個新帳戶，并將它添加到域管理組，將帳戶特權提供給攻擊者，同時也給攻擊者控制密碼的機會。

Be’ery說，這是攻擊者隱藏在普通場景中的另一個例子。新用戶名是與BMC Bladelogic服務器用戶名相同的“best1_user”。

“這是一個高度異常的模式”，Be’ery說，時刻留意監視用戶列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關注網絡世界)，所以必須監控訪問模式。

第七步：使用新的管理憑證傳播到有關計算機

用新的訪問憑證，攻擊者現在可以繼續追求其攻擊目標。但是Aorato指出了其路徑中的兩個障礙：繞過防火墻和限制直接訪問相關目標的其他網絡安全解決方案，并針對其攻擊目標在各種機器上運行遠程程序。

Aorato說，攻擊者用“憤怒的IP掃描器”檢測連網電腦，穿過一系列的服務器來繞過安全工具。

至于在目標服務器上遠程執行程序，攻擊者使用其憑證連接微軟PSExec應用程序 (在其他系統上執行進程的telnet-replacement)和Windows內部遠程桌面客戶端。

Aorato指出，這2個工具都使用Active Directory用戶進行身份驗證和授權，這意味著一旦有人在搜尋，Active Directory將第一時間知曉。

一旦攻擊者訪問目標系統，他們會使用微軟的協調器管理解決方案來獲得持續的訪問，這將允許他們在受攻擊的服務器上遠程執行任意代碼。

第八步：竊取PII 7000萬

Aorato說，在這一步，襲擊者使用SQL查詢工具來評估價數據庫服務器和檢索數據庫內容的SQL批量復制工具的價值。這個過程，其實就是PCI合規所提出的黑客造成的嚴重數據泄露事故——4000萬信用卡。

當攻擊者已經成功訪問7000萬的Target目標客戶時，它并沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

既然Target符合PCI合規，數據庫不存儲任何信用卡的具體數據，因此他們不得不轉向B計劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟件竊取4000萬信用卡

PoS系統很可能不是一個攻擊者的初始目標。只有當他們無法訪問服務器上的信用卡數據時，才會專注于將PoS機作為應急。在第四步中使用網絡和第七步的遠程執行功能，襲擊者在PoS機上安裝了Kaptoxa。惡意軟件被用來掃描被感染機器的內存并保存本地文件上發現的所有信用卡數據。唯獨在這一步中，襲擊者會使用專門的惡意軟件而不是常見的工具。

第十步：通過網絡共享傳遞竊取數據

一旦惡意軟件獲取了信用卡數據，它就會使用Windows命令和域管理憑證在遠程的FTP機器上創建一個遠程文件共享，并會定期將本地文件復制到遠程共享。Be’ery在此強調，這些活動會針對Activity Directory獲得授權。

第十一步：通過FTP傳送竊取數據

最后，一旦數據到達FTP設備，可以使用Windows內部的FTP客戶端將一個腳本將文件發送到已被攻擊者控制的FTP賬號。

初始滲透點并不是故事的終結，因為最終你必須假設你最終將被攻擊。

如何保護你的企業或組織

加強訪問控制。監控文件訪問模式系統以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關敏感系統，以減少與信用卡憑證相關的風險。隔離網絡，并限制協議使用和用戶的過度特權。

監控用戶的列表，時刻關注新添加用戶，尤其是有特權的用戶。

監控偵察和信息收集的跡象，特別注意過度查詢和不正常的LDAP查詢。

考慮允許項目的白名單。

不要依賴反惡意軟件解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。

在Active Directory上安裝安全與監測控制設備，因為其參與幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網絡情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰術、技術和程序(TTPs)。