安全公司Aorato的一項新研究顯示，個人可識別信息（PII）和信用卡及借記卡數(shù)據(jù)在今年年初的Target數(shù)據(jù)泄露實踐中遭到大規(guī)模偷竊后，該公司的PCI合規(guī)新計劃已經(jīng)大幅降低了損害的范圍。

利用所有可用的公開報告，Aorato的首席研究員Tal Aorato ‘ery及其團隊記錄了攻擊者用來攻擊Target的所有工具，并創(chuàng)建了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從 PoS系統(tǒng)抓取信用卡數(shù)據(jù)的。關(guān)于事故的細節(jié)依舊模糊，但是Be’ery認為，有必要了解整個攻擊過程，因為黑客們依然存在。

跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)

而Be’ery承認，安全公司Aorato對于一些細節(jié)的描述可能是不正確的，但是他確信關(guān)于Target網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。

“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”，Be’ery說。有許多報告聲稱，在這個事件中涌現(xiàn)了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具 的。這就像有恐龍骨頭，卻不知道恐龍到底長什么樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

2013年12月，正值一年當(dāng)中最繁忙購物季的中期，關(guān)于Target數(shù)據(jù)泄露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經(jīng)獲取了 7000萬消費者的個人身份信息以及4000萬信用卡和借記卡的數(shù)據(jù)信息。Target的CIO和董事長、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱，預(yù)計 經(jīng)濟損失可能達到10億美元。

了解上述事件的大多數(shù)人都知道它始于竊取Target供應(yīng)商的信用憑證。但攻擊者是如何從Target網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)？Be’ery認為，攻擊者深思熟慮采取了11個步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了Target空調(diào)供應(yīng)商Fazio Mechanical Services的憑證。根據(jù)首先打破合規(guī)故事的Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問Target致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中，F(xiàn)azio Mechanical Services的主席和持有人Ross

Fazio表示，該公司不對Target的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠程監(jiān)控。其與Target網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項目管理的。

這個Web應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在Target內(nèi)部網(wǎng)絡(luò)Web應(yīng)用程序進入Target，應(yīng)用程序還是不允許任意命令執(zhí)行，而這將在攻擊過程中是十分緊迫的。

第三步：開發(fā)Web程序漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù)Aorato的報告，當(dāng)所有其他已知的攻擊工具文件是Windows可執(zhí)行文件時，這就是一個在Web應(yīng)用程序內(nèi)運行腳本的PHP文件。

“這個文件表明，攻擊者能夠通過利Web應(yīng)用程序中的一個漏洞上傳PHP文件，”Aorato報告顯示，原因可能Web應(yīng)用程序有一個用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在Web應(yīng)用程序中的事故，始終沒有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。

惡意腳本可能是一個“Web殼”，一個基Web并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之后Target就被通知數(shù)據(jù)泄露。

第四步：細心偵查

此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力運行任意操作系統(tǒng)命令，但進一步的行動還需要Target內(nèi)部網(wǎng)絡(luò)的情報，所以他們需要找到存儲客戶信息和信用卡數(shù)據(jù)的服務(wù)器。

目標是Target的活動目錄，這包括數(shù)據(jù)域的所有成員：用戶、計算機和服務(wù)。他們能夠利用內(nèi)部Windows工具和LDAP協(xié)議查詢活動目錄。 Aorato相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù)，然后通過查看服務(wù)器的名稱來推斷出每個服務(wù)器的目的。這也有可能是攻擊者稍 后用以使用來找到PoS-related機器的過程。利用攻擊目標的名字，Aorato認為，攻擊者將隨后獲得查詢DNS服務(wù)器的IP地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery認為，攻擊者已經(jīng)確定他們的目標，但他們需要訪問權(quán)限尤其是域管理員權(quán)限來幫助他們。

基于前Target安全團隊成員提供給記者Brian Krebs的信息，Aorato認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術(shù)來獲得一個NT令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

隨著這種技術(shù)的深入證實，Aorato指向了工具的使用，包括用于從內(nèi)存中登錄會話和NTLM憑證的滲透測試工具、提取域賬戶NT / LM歷史的散列密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當(dāng)試圖訪問一些需要顯示使用密碼的服務(wù)(如遠程桌面)時，他就成為無效的。那么，下一步是創(chuàng)建一個新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權(quán)來創(chuàng)建一個新帳戶，并將它添加到域管理組，將帳戶特權(quán)提供給攻擊者，同時也給攻擊者控制密碼的機會。

Be’ery說，這是攻擊者隱藏在普通場景中的另一個例子。新用戶名是與BMC Bladelogic服務(wù)器用戶名相同的“best1_user”。

“這是一個高度異常的模式”，Be’ery說，時刻留意監(jiān)視用戶列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關(guān)注網(wǎng)絡(luò)世界)，所以必須監(jiān)控訪問模式。

第七步：使用新的管理憑證傳播到有關(guān)計算機

用新的訪問憑證，攻擊者現(xiàn)在可以繼續(xù)追求其攻擊目標。但是Aorato指出了其路徑中的兩個障礙：繞過防火墻和限制直接訪問相關(guān)目標的其他網(wǎng)絡(luò)安全解決方案，并針對其攻擊目標在各種機器上運行遠程程序。

Aorato說，攻擊者用“憤怒的IP掃描器”檢測連網(wǎng)電腦，穿過一系列的服務(wù)器來繞過安全工具。

至于在目標服務(wù)器上遠程執(zhí)行程序，攻擊者使用其憑證連接微軟PSExec應(yīng)用程序(在其他系統(tǒng)上執(zhí)行進程的telnet-replacement)和Windows內(nèi)部遠程桌面客戶端。

Aorato指出，這兩個工具都使用Active Directory用戶進行身份驗證和授權(quán)，這意味著一旦有人在搜尋，Active Directory將第一時間知曉。

一旦攻擊者訪問目標系統(tǒng)，他們會使用微軟的協(xié)調(diào)器管理解決方案來獲得持續(xù)的訪問，這將允許他們在受攻擊的服務(wù)器上遠程執(zhí)行任意代碼。

第八步：竊取PII 7000萬

Aorato說，在這一步，襲擊者使用SQL查詢工具來評估價數(shù)據(jù)庫服務(wù)器和檢索數(shù)據(jù)庫內(nèi)容的SQL批量復(fù)制工具的價值。這個過程，其實就是PCI合規(guī)所提出的黑客造成的嚴重數(shù)據(jù)泄露事故——4000萬信用卡。

當(dāng)攻擊者已經(jīng)成功訪問7000萬的Target目標客戶時，它并沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

既然Target符合PCI合規(guī)，數(shù)據(jù)庫不存儲任何信用卡的具體數(shù)據(jù)，因此他們不得不轉(zhuǎn)向B計劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟件 竊取4000萬信用卡

PoS系統(tǒng)很可能不是一個攻擊者的初始目標。只有當(dāng)他們無法訪問服務(wù)器上的信用卡數(shù)據(jù)時，才會專注于將PoS機作為應(yīng)急。在第四步中使用網(wǎng)絡(luò)和第七 步的遠程執(zhí)行功能，襲擊者在PoS機上安裝了Kaptoxa。惡意軟件被用來掃描被感染機器的內(nèi)存并保存本地文件上發(fā)現(xiàn)的所有信用卡數(shù)據(jù)。

唯獨在這一步中，襲擊者會使用專門的惡意軟件而不是常見的工具。

“擁有防病毒工具也不會在這種情況下起到作用”他說，“當(dāng)賭注太高、利潤數(shù)千萬美元時，他們根本不介意創(chuàng)造特制工具的成本。”

第十步：通過網(wǎng)絡(luò)共享傳遞竊取數(shù)據(jù)

一旦惡意軟件獲取了信用卡數(shù)據(jù)，它就會使用Windows命令和域管理憑證在遠程的FTP機器上創(chuàng)建一個遠程文件共享，并會定期將本地文件復(fù)制到遠程共享。Be’ery在此強調(diào)，這些活動會針對Activity

Directory獲得授權(quán)。

第十一步：通過FTP傳送竊取數(shù)據(jù)

最后，一旦數(shù)據(jù)到達FTP設(shè)備，可以使用Windows內(nèi)部的FTP客戶端將一個腳本將文件發(fā)送到已被攻擊者控制的FTP賬號。

初始滲透點并不是故事的終結(jié)，因為最終你必須假設(shè)你最終將被攻擊。你必須做好準備，并當(dāng)你被攻擊時必須有事件響應(yīng)計劃。當(dāng)惡意軟件可以使攻擊者能夠更深入地探索網(wǎng)絡(luò)時，真正的問題才會出現(xiàn)。如果你有正確的判斷力，問題將會真的顯示出來。

如何保護你的企業(yè)或組織

加強訪問控制。監(jiān)控文件訪問模式系統(tǒng)以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關(guān)敏感系統(tǒng)，以減少與信用卡憑證相關(guān)的風(fēng)險。隔離網(wǎng)絡(luò)，并限制協(xié)議使用和用戶的過度特權(quán)。

• 監(jiān)控用戶的列表，時刻關(guān)注新添加用戶，尤其是有特權(quán)的用戶。
• 監(jiān)控偵察和信息收集的跡象，特別注意過度查詢和不正常的LDAP查詢。
• 考慮允許項目的白名單。
• 不要依賴反惡意軟件解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。
• 在Active Directory上安裝安全與監(jiān)測控制設(shè)備，因為其參與幾乎所有階段的攻擊。
• 參與信息共享和分析中心(ISAC)和網(wǎng)絡(luò)情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰(zhàn)術(shù)、技術(shù)和程序(TTPs)。

原文鏈接：http://security.cnw.com.cn/security-datasecurity/htm2014/20140903_311882.shtml