在上一篇文章中《APT攻擊背后的秘密:攻擊性質(zhì)及特征分析》，我們介紹了APT攻擊的性質(zhì)及特征。本篇文章，我們將介紹APT攻擊前的"敵情"偵察。"敵情"偵察是APT攻擊的第一步，攻擊者通過這個(gè)步驟確定其目標(biāo)以及攻擊方法。在此，我們將詳細(xì)了解攻擊者的"敵情"偵察是怎樣做的。

[[108878]]

個(gè)人資料：人是最薄弱的環(huán)節(jié)

很多時(shí)候，導(dǎo)致企業(yè)受到攻擊的信息通常是沒有得到足夠重視和保護(hù)的信息。這可能是電話號(hào)碼、電子郵件目錄表、文檔中的元數(shù)據(jù)，以及企業(yè)高管的全名以及公司發(fā)展史等。

其中有些信息可以通過公共記錄和網(wǎng)絡(luò)搜索找到，但有時(shí)事實(shí)并非如此。公開的個(gè)人或企業(yè)的信息被稱為開源情報(bào)(OSINT)，因?yàn)槿魏稳硕伎梢悦赓M(fèi)公開地獲取這些信息。問題是，對(duì)于大多數(shù)來說，來自單一來源的可用OSINT數(shù)量通常非常少。

由于這種稀缺性，很多網(wǎng)絡(luò)罪犯會(huì)鏈接信息，即整合很多小數(shù)據(jù)直到獲得完整信息。黑客組織Anonymous在發(fā)動(dòng)攻擊前，就是利用“dox”來收集關(guān)于個(gè)人或事物的信息，這些“dox”就是信息鏈。然而，不只是黑客和犯罪分子，安全專家也會(huì)采用這種做法，包括執(zhí)法機(jī)構(gòu)。

這些向公眾提供的信息包括：業(yè)務(wù)報(bào)告、新聞報(bào)道、企業(yè)網(wǎng)站、社交媒體賬戶(個(gè)人和專業(yè))以及來自商業(yè)伙伴的相關(guān)信息。

通過這些信息，攻擊者將了解其攻擊目標(biāo)以及原因;更重要的是，他們將知道如何攻擊這些目標(biāo)，而不需要進(jìn)行額外的背景研究。

談到?jīng)]有受到保護(hù)的數(shù)據(jù)，讓我們先看看元數(shù)據(jù)。

元數(shù)據(jù)：進(jìn)入企業(yè)的隱藏的鑰匙

在這里，元數(shù)據(jù)是指嵌入在文檔和圖像中的信息。我們并不是在談?wù)撁绹?guó)國(guó)家安全局收集的元數(shù)據(jù)。大多數(shù)人都不知道他們上傳到網(wǎng)上的圖片不僅包含圖像拍攝位置，而且還包含準(zhǔn)確的時(shí)間戳，以及硬件信息。對(duì)于文檔(從PDF到PPT)中的元數(shù)據(jù)，攻擊者可以獲取軟件產(chǎn)品名稱和版本、文檔作者的名字、網(wǎng)絡(luò)位置、IP地址等。

了解元數(shù)據(jù)是很重要的，因?yàn)樵趥刹祀A段，攻擊者收集的第一個(gè)信息是可公開獲取的文檔。以下是利用元數(shù)據(jù)的很好的例子。在2011年，有人代表Anonymous上傳了1.2GB torrent文件，讓很多人相信美國(guó)商會(huì)、美國(guó)立法交流委員會(huì)(ALEC)、公共政策麥基諾中心遭受了數(shù)據(jù)泄露。事后發(fā)現(xiàn)，這些機(jī)構(gòu)的文檔并沒有被偷竊，只是使用FOCA收集的文檔信息。

在屬于美國(guó)商會(huì)的文檔集中，有194個(gè)Word文檔(.doc和.docx)、724個(gè)PDF文檔、59個(gè)PPT文檔(.ppt和.pptx)以及12個(gè)Excel文檔(.xls 和 .xlsx)。 通過檢查其中的元數(shù)據(jù)，發(fā)現(xiàn)了293個(gè)名稱，其中大部分是網(wǎng)絡(luò)ID。雖然只有23個(gè)電子郵件地址泄露，但其實(shí)攻擊者可以輕松獲取其他地址，因?yàn)楹芏嗝绹?guó)商會(huì)人員的信息可以通過OSINT發(fā)現(xiàn)。這些元數(shù)據(jù)還包括文件夾路徑以及本地系統(tǒng)路徑和web服務(wù)器路徑。還有共享網(wǎng)絡(luò)打印器的位置和名稱。

在軟件方面，美國(guó)商會(huì)的數(shù)據(jù)中列出了超過100個(gè)軟件名稱。雖然很多軟件產(chǎn)品是在創(chuàng)建文檔時(shí)記錄的名稱，但鑒于很多企業(yè)仍然在使用傳統(tǒng)軟件，這也是攻擊者的寶貴數(shù)據(jù)。

同樣重要的是IP地址，以及確定企業(yè)在運(yùn)行Windows XP、Windows Server 2000和Windows Server 2003。雖然有些數(shù)據(jù)沒有更新，但大量這種信息可以作為攻擊企業(yè)的起點(diǎn)。

FOCA可以幫助企業(yè)發(fā)現(xiàn)元數(shù)據(jù)，還有很多可用資源可幫助企業(yè)管理和刪除元數(shù)據(jù)。

技術(shù)信息：入侵基礎(chǔ)設(shè)施

雖然攻擊者會(huì)使用OSINT來尋找潛在的線索，他們也會(huì)查看目標(biāo)企業(yè)網(wǎng)站使用的應(yīng)用程序和腳本。攻擊者會(huì)探測(cè)目標(biāo)企業(yè)的整個(gè)網(wǎng)絡(luò)中的漏洞，應(yīng)用程序和腳本并不是唯一的攻擊面，它們只是最容易獲取的線索。

如前所述，攻擊者能夠知道目標(biāo)企業(yè)使用的軟件類型，還有IP地址、web服務(wù)器規(guī)格(例如平臺(tái)版本)、虛擬主機(jī)信息以及硬件類型。

平臺(tái)版本號(hào)碼可以幫助員工找出存在的漏洞，當(dāng)對(duì)于硬件，這些信息可以用來定位默認(rèn)登錄信息。而對(duì)于腳本和網(wǎng)站開發(fā)，攻擊者可以被動(dòng)掃描裸機(jī)漏洞、跨站腳本、SQL注入和其他漏洞。

技術(shù)偵查的另一種途徑是供應(yīng)鏈。很多企業(yè)經(jīng)常會(huì)公開其業(yè)務(wù)合作伙伴，這給攻擊者提供了另一個(gè)可利用的線索。試想一下：如果代理商的賬戶被攻破，這將對(duì)你的企業(yè)有何影響?

有時(shí)候最好的辦法就是簡(jiǎn)單的列出信息，下面是攻擊者在偵察活動(dòng)中可能尋找的信息：

OSINT數(shù)據(jù)

▍可下載文件

·這為攻擊者提供了直接的信息以及收集元數(shù)據(jù)的機(jī)會(huì)

▍員工照片和企業(yè)活動(dòng)照片

·這為攻擊者提供了直接的信息以及收集元數(shù)據(jù)的機(jī)會(huì)

▍人員名單以及領(lǐng)導(dǎo)層信息

·了解誰是誰，并建立企業(yè)內(nèi)部的關(guān)系

▍項(xiàng)目和產(chǎn)品數(shù)據(jù)

·當(dāng)搜索攻擊面和背景信息時(shí)很有用

▍B2B關(guān)系

·這種數(shù)據(jù)被用來建立供應(yīng)鏈關(guān)系和銷售渠道以便之后漏洞利用

▍員工的詳細(xì)信息

·這包括社交媒體的個(gè)人和公共數(shù)據(jù)

▍軟件數(shù)據(jù)

·目標(biāo)企業(yè)內(nèi)使用的軟件類型

構(gòu)建完整的個(gè)人資料

完整個(gè)人資料包括：全名、地址(過去和現(xiàn)在)、電話號(hào)碼(個(gè)人和工作)、出生日期、社會(huì)安全號(hào)碼、 ISP的數(shù)據(jù)(IP地址、提供商)、用戶名、密碼、公共記錄數(shù)據(jù)(稅收、信貸歷史、法律記錄)、愛好、最喜歡的餐館、電影、書籍等等。

攻擊者會(huì)試圖收集所有這些信息，每次攻擊活動(dòng)需要的信息量都不同。然而，信息量越大，攻擊者成功的幾率就越大。

構(gòu)建完整的技術(shù)資料

技術(shù)資料信息包括：網(wǎng)絡(luò)地圖、從元數(shù)據(jù)獲取的技術(shù)詳細(xì)信息、IP地址、可用硬件和軟件信息、操作系統(tǒng)詳細(xì)信息、平臺(tái)開發(fā)數(shù)據(jù)和驗(yàn)證措施。

有了這些信息，攻擊者可以利用個(gè)人資料數(shù)據(jù)并瞄準(zhǔn)服務(wù)臺(tái)。知道ID是如何創(chuàng)建的可以幫助攻擊者了解電子郵件地址是如何創(chuàng)建，更方便地進(jìn)行釣魚攻擊、猜測(cè)地址或初步溝通。攻擊者還可以搜尋操作系統(tǒng)、第三方軟件和平臺(tái)數(shù)據(jù)的漏洞或默認(rèn)訪問。

數(shù)據(jù)收集資源：

在偵察階段，這些網(wǎng)站被用來收集個(gè)人資料信息，每個(gè)新信息都會(huì)給攻擊者帶來更多可利用信息。社交媒體信息會(huì)提供名字和圖片。

攻擊者知道去哪里尋找數(shù)據(jù)。根據(jù)不同目標(biāo)，攻擊者會(huì)為信息或信息服務(wù)付款。然而，請(qǐng)注意，這并不是全面的資源清單，只是經(jīng)常會(huì)提到的資源。

Google (www.google.com)

個(gè)人/企業(yè)搜索

這些網(wǎng)站提供了對(duì)個(gè)人用戶、企業(yè)以及二者之間聯(lián)系的公共信息。

Zoom Info (www.zoominfo.com)

PIPL (www.pipl.com)

Intelius (www.intelius.com)

Muckety (www.muckety.com)

其他搜索資源

Web Archive (www.archive.org)

GeoIP (www.geoiptool.com )

Robtex (www.robtex.com)

KnowEm (www.knowem.com)

ImageOps (http://imgops.com)

SHODAN (www.shodanhq.com)

整理收集的數(shù)據(jù)

在偵察階段整理所有收集到的各種信息，推薦的工具是Maltego。Maltego是一個(gè)OSINT工具，黑客、執(zhí)法機(jī)構(gòu)和安全專家使用它來管理信息鏈。它提供對(duì)數(shù)據(jù)的可視化概覽，能夠幫助整理用戶、組織、機(jī)構(gòu)、網(wǎng)絡(luò)信息之間的關(guān)聯(lián)。

常見工具和軟件

對(duì)于在偵察階段攻擊者使用的工具，通常很容易獲得且易于操作，包括這些：

SQLMap (http://sqlmap.org)

BackTrack Linux (http://www.backtrack-linux.org)

Metasploit (http://metasploit.org)

總結(jié)

防止偵察幾乎是不可能的。你可以緩解一些攻擊，但互聯(lián)網(wǎng)本身的性質(zhì)意味著信息會(huì)以這種或那種形式存在，并且，最終將被攻擊者發(fā)現(xiàn)。對(duì)于緩解措施，下面是需要考慮的事情。

監(jiān)控日志記錄和分析應(yīng)用程序中異常下載流量高峰。

決不允許內(nèi)部端口(內(nèi)網(wǎng))、文檔或存儲(chǔ)中心從網(wǎng)絡(luò)外部訪問。通過受限制IP或企業(yè)VPN以及ACL政策管理對(duì)這些資源的訪問。此外，良好的IAM(身份和訪問管理)也可以作為不錯(cuò)的防御。啟用多因素身份驗(yàn)證，有效管理過時(shí)的賬戶和密碼。

同樣地，監(jiān)控網(wǎng)絡(luò)中的ICMP流量。此外，觀察對(duì)網(wǎng)絡(luò)子網(wǎng)的掃描。這很罕見，并且相當(dāng)明顯，但這確實(shí)會(huì)發(fā)生。對(duì)看似隨意的端口進(jìn)行檢查。

對(duì)于OSINT，另一個(gè)防御技術(shù)是限制公開顯示的信息量;包括電話簿、員工名單、過于具體的人員和領(lǐng)導(dǎo)介紹、項(xiàng)目計(jì)劃、業(yè)務(wù)和渠道合作伙伴以及客戶名單。

雖然這些數(shù)據(jù)并不是特別重要，但這些數(shù)據(jù)可以提供廣泛的攻擊面。如前所述，過濾元數(shù)據(jù)也是關(guān)鍵的緩解措施。然而，對(duì)這些數(shù)據(jù)的限制需要通過風(fēng)險(xiǎn)評(píng)估來確定，這需要所有業(yè)務(wù)領(lǐng)域的參與。

還要注意標(biāo)語提取，這是攻擊者了解企業(yè)技術(shù)緩解常用的易于使用的技術(shù)。在攻擊者進(jìn)行偵查后，下一個(gè)步驟將是武器化和交付。本系列的第二部分將研究這個(gè)方面以及解決辦法。