網(wǎng)絡(luò)犯罪正想方設(shè)法繞過分層的安全防御。企業(yè)需要理解防御這些攻擊及如何保護(hù)自己。然而，總有一些造成嚴(yán)重惡果的安全損害在提醒我們：必須重視攻擊發(fā)生的細(xì)節(jié)是如何發(fā)生的，以便于防患于未然。

通過調(diào)查這些攻擊的發(fā)生機(jī)理，提供應(yīng)用安全配置和修復(fù)安全損害的方法，企業(yè)就能夠更有效地挫敗APT攻擊。在本案例中，我們根據(jù)真實(shí)的攻擊事件復(fù)原了一個(gè)攻擊案例，其目標(biāo)是攻擊和破壞大型企業(yè)，并且高效地使用了一些可以危害當(dāng)今許多公司的方法。

在本案中，我們根據(jù)已知的公開信息重新構(gòu)建攻擊過程。這些攻擊過程的細(xì)節(jié)是虛構(gòu)的，但其中的攻擊技術(shù)卻是真實(shí)的。

本攻擊案例包括了四個(gè)步驟，詳細(xì)描述了攻擊的實(shí)施過程。該攻擊案例演示了被竊的SSL私鑰和證書如何使網(wǎng)絡(luò)罪犯執(zhí)行有效的釣魚活動(dòng)，并且保證不被發(fā)現(xiàn)。該攻擊導(dǎo)致了大量的服務(wù)器和成千上萬的客戶記錄無法訪問。

每種攻擊情形都是在模擬環(huán)境中進(jìn)行的，但這些環(huán)境模擬了真實(shí)的企業(yè)級(jí)的安全控制、服務(wù)器、網(wǎng)絡(luò)連接設(shè)備，并代表了典型的企業(yè)環(huán)境。雖然現(xiàn)實(shí)世界中并非所有細(xì)節(jié)都能公布于眾，但安全滲透測(cè)試的工程師們根據(jù)典型企業(yè)配置重新構(gòu)建了攻擊環(huán)境和情形。

本文虛構(gòu)了一個(gè)黑客組織Cashacker。通過利用由私鑰建立的信任，該攻擊案例將演示毫無戒心的客戶如何輕松地拱手交出其用戶名和口令。

在本案例中，受到攻擊的公司名為CrystalBank，其使用支持SSL的域名(crystalonline.com)從事網(wǎng)上銀行業(yè)務(wù)。該公司也與第三方合作，由對(duì)方托管應(yīng)用和系統(tǒng)，或者提供服務(wù)。在此過程中，使用證書是一種安全的實(shí)踐，但是，如果SSL私鑰落于賊手，則一切將徹底改變。

攻擊案例

關(guān)于Cashacker黑客組織

該黑客組織重點(diǎn)攻擊金融行業(yè)以及與其有關(guān)的一切行業(yè)。用戶憑據(jù)、信用卡、比特幣等都是該組織的最愛。然而，該組織也開始竊取在地下的黑客市場(chǎng)中價(jià)格高昂的密鑰和證書。Cashacker使用Deep Web(深網(wǎng))聯(lián)系非法產(chǎn)品和服務(wù)的購(gòu)買者和賣家。

Cashacker的許多網(wǎng)上店鋪曾為其帶來巨額利潤(rùn)。但是，隨著企業(yè)越來越多地實(shí)施分層安全控制，Cashacker發(fā)現(xiàn)越來越難以獲得非法產(chǎn)品和服務(wù)。

而我們的故事就要由該組織的一個(gè)成員從黑市購(gòu)買一家大型金融機(jī)構(gòu)的合法SSL私鑰開始，其企圖是使用此私鑰繞過安全控制，并由此攫取失竊的證書進(jìn)行銷售，以獲得巨額的投資回報(bào)。

獲取私鑰

通過證書及其相關(guān)的私鑰，網(wǎng)絡(luò)罪犯就可以隱藏在加密的通信中，欺騙網(wǎng)站、部署惡意軟件并竊取數(shù)據(jù)。在本案例中，一家著名銀行CrystalBank的私鑰被發(fā)到了AlphaBay這個(gè)深網(wǎng)站點(diǎn)上，進(jìn)入黑市拍賣活動(dòng)。Cashacker以前曾經(jīng)攻入過該銀行，但如今已經(jīng)沒有數(shù)字證書或其它訪問途徑，所以它需要新的進(jìn)入方法。CrystalBank有非常強(qiáng)健的安全措施，所以出現(xiàn)這樣的好機(jī)會(huì)是不常見的。

一個(gè)通配符私鑰是如何被用于買賣的?一種可能的情況是，企業(yè)的雇員復(fù)制了密鑰并將其粘貼到AlphaBay進(jìn)行銷售。然而，一個(gè)更常見的方法是惡意軟件，它可以竊取包括密鑰和證書在內(nèi)的憑據(jù)。例如，Zeus特洛伊木馬家族就有7萬多個(gè)變種，可以竊取密鑰和證書用于將來的網(wǎng)絡(luò)犯罪活動(dòng)。

Cashacker為了購(gòu)買這個(gè)私鑰花了大價(jià)錢，但其相信這個(gè)新的密鑰連同以前攻擊的服務(wù)器會(huì)帶來巨大利益。該黑客組織認(rèn)為，雖然需要花費(fèi)些許努力，但憑借其技能和經(jīng)驗(yàn)，他們認(rèn)為，釣魚是利用已有資源快速獲得真實(shí)憑據(jù)的最佳方法。

獲取DNS訪問

Cashacker團(tuán)隊(duì)計(jì)劃構(gòu)建一個(gè)可以精確地模擬真實(shí)網(wǎng)站(donations.CrystalBankonline.com)的釣魚網(wǎng)站。真實(shí)網(wǎng)站被用于從CrystalBank的客戶和雇員引進(jìn)抽獎(jiǎng)。黑客知道改變生產(chǎn)或真實(shí)網(wǎng)站是有風(fēng)險(xiǎn)的。如果生產(chǎn)或真實(shí)的系統(tǒng)被修改，安全軟件極有可能檢測(cè)到這些變化。所以，Cashacker決定模仿網(wǎng)站，希望這個(gè)釣魚網(wǎng)站能夠長(zhǎng)時(shí)間不被看成是非法網(wǎng)站，而其釣魚攻擊也就能夠更長(zhǎng)時(shí)間地保持。

為了高效將SSL證書用于釣魚攻擊，終端用戶絕對(duì)不能在瀏覽器中看到任何錯(cuò)誤消息。這意味著域名必須匹配證書所指示的域名，從而避免證書的錯(cuò)誤消息。通常，這是一個(gè)很難克服的困難，因?yàn)檫@要求攻擊者既要控制DNS又要控制SSL私鑰。

由于Cashacker是一個(gè)很大的黑客組織，它可以訪問來自全球的許多重要企業(yè)的系統(tǒng)，它通過使用僵尸網(wǎng)絡(luò)查找系統(tǒng)漏洞以實(shí)施控制。Cashacker重視金融企業(yè)，所以它在這些僵尸網(wǎng)絡(luò)上定制的腳本都是針對(duì)類似CrystalBank之類的企業(yè)，其使用的就是在以前的攻擊過程中獲得的數(shù)據(jù)。這個(gè)僵尸網(wǎng)絡(luò)返回了許多系統(tǒng)的憑據(jù)，而且，使Cashacker頗感欣慰的是，CrystalBank的托管合作伙伴的DNS服務(wù)器就是這些系統(tǒng)之一。

在購(gòu)買私鑰之前，Cashacker通過SSH蠻力攻擊，利用其一個(gè)僵尸網(wǎng)絡(luò)獲得了管理員的用戶名和一個(gè)賬號(hào)的口令，“supercharlie”，這個(gè)特別的賬號(hào)并不是超級(jí)用戶，也沒有提供根的訪問，但是這個(gè)賬戶的獲得使黑客組織Cashacker離訪問目標(biāo)更近了。

Cashacker利用supercharlie這個(gè)賬戶，構(gòu)建了一個(gè)用以捕獲真實(shí)用戶憑據(jù)的釣魚系統(tǒng)。訪問CrystalBank的一個(gè)很重要的DNS服務(wù)器，是該黑客組織的第二步，當(dāng)然還要利用為實(shí)施釣魚攻擊而獲得的私鑰。但為修改DNS的區(qū)域文件仍需要root訪問。

通過快速搜索存儲(chǔ)在supercharlie主目錄樹中的文件，黑客發(fā)現(xiàn)了一個(gè)擁有完整的系統(tǒng)備份的原碼檔案。系統(tǒng)的備份文件包含SSH私鑰用于進(jìn)行root訪問，有可能用于將文件從遠(yuǎn)程服務(wù)器發(fā)送到系統(tǒng)。利用這個(gè)SSH私鑰進(jìn)行root訪問，Cashacker就能夠?qū)⒁粋€(gè)DNS登記項(xiàng)插入到系統(tǒng)區(qū)域文件中，并且重新加載DNS配置。

Donation.CrystalBankonline.com是Cashacker打算進(jìn)行釣魚攻擊實(shí)施欺詐的目標(biāo)網(wǎng)站。黑客們創(chuàng)建了一個(gè)極類似的名稱，donate.CrystalBankonline.com，從而使普通用戶很難注意到合法網(wǎng)站和釣魚網(wǎng)站之間的區(qū)別。

為創(chuàng)建一個(gè)可以收集數(shù)據(jù)的系統(tǒng)，Cashacker使用了一個(gè)以前“黑掉”的附近的一所大學(xué)的服務(wù)器IP地址。Cashacker擁有大量的類似系統(tǒng)，并且可以確保這些系統(tǒng)不被關(guān)閉或檢測(cè)到。這個(gè)特別的系統(tǒng)已經(jīng)有近半年沒有遭到攻擊了，Cashacker甚至已經(jīng)給此系統(tǒng)打了補(bǔ)丁，保證其它黑客無法訪問。而位于大學(xué)的IP地址還意味著它有足夠的帶寬可以模擬銀行客戶已經(jīng)習(xí)慣的終端用戶體驗(yàn)，并且保證受害者渾然不覺。

插入IP地址僅僅對(duì)生產(chǎn)DNS系統(tǒng)進(jìn)行了更改，留下了極少的痕跡，從而可以避免被檢測(cè)到。但為發(fā)動(dòng)釣魚攻擊還需要做許多。

構(gòu)建釣魚網(wǎng)站

在部署好關(guān)鍵的底層組件后，為冒充真正“可信”的CrystalBank公司，下一步就是要?jiǎng)?chuàng)建一個(gè)可信任的網(wǎng)站，使受害者可以提供其憑據(jù)。

黑客使用Cashacker以前增加的DNS登記項(xiàng)，將新的冒牌網(wǎng)站與donate.CrystalBankonline.com綁定。使用社交工程工具，Cashacker能夠快速地克隆這個(gè)網(wǎng)站，而且該網(wǎng)站是真正產(chǎn)生網(wǎng)站的一個(gè)直接克隆。

為確保終端用戶信任虛假網(wǎng)站，黑客們還使用了盜竊的SSL證書。這就使得冒牌網(wǎng)站在用戶的瀏覽器上顯示一個(gè)合法證書，從而清除了證書的錯(cuò)誤消息。有了合法的證書和域名，還有一個(gè)網(wǎng)站上可用的SSL，即使精明的用戶也沒有理由認(rèn)為他們?cè)L問的網(wǎng)站是一個(gè)虛假網(wǎng)站。在盜取了SSL密鑰后，黑客們就可以使一切看起來是合法而安全的。

引誘受害者

在搭建好上述系統(tǒng)并進(jìn)行測(cè)試后，黑客們就會(huì)向其收集的CrystalBank客戶和雇員發(fā)送電子郵件，其數(shù)量巨大。這些郵件地址來自簡(jiǎn)單的百度、谷歌搜索。普通大眾的電子郵件地址也位列其中，因?yàn)樵S多人是都是CrystalBank的客戶，或者了解該企業(yè)的品牌和信譽(yù)。Kanbcash團(tuán)隊(duì)知道自己將會(huì)收獲大量的銀行登錄憑據(jù)，并將其用于未來的攻擊，或者在網(wǎng)上銷售。

在終端用戶在釣魚網(wǎng)站上輸入了用戶名和口令的組合后，釣魚網(wǎng)站就會(huì)記錄這些信息。然后該網(wǎng)站會(huì)通過中間人的方法將終端用戶重新定位到真正的抽獎(jiǎng)網(wǎng)站，并且通過復(fù)制所捕獲的登錄憑據(jù)進(jìn)行記錄，企圖繼續(xù)欺騙終端用戶，使其相信自己正在合法網(wǎng)站上。Cashacker希望逃避遭到懷疑，因?yàn)槿绻芎φ呓oIT打電話求助就會(huì)增加其釣魚網(wǎng)站被發(fā)現(xiàn)的風(fēng)險(xiǎn)。將終端用戶交給真實(shí)的網(wǎng)站可以使抽獎(jiǎng)順利進(jìn)行，而用戶仍蒙在鼓里。

這種攻擊對(duì)Cashacker來說簡(jiǎn)直是妙極了。CrystalBank的客戶和雇員被釣魚網(wǎng)站誘惑，并且不知不覺就泄露了其登錄憑據(jù)。這些憑據(jù)會(huì)實(shí)時(shí)地顯示給Cashacker黑客，并且被記錄在一個(gè)文件中。通過中間人的方法，利用重新定向可以使每一個(gè)表單字段都可見，而不僅僅是用戶名和口令，還包括電子郵件地址、手機(jī)號(hào)碼，以及利用表單收集的任何其它信息。

事實(shí)證明，很多人會(huì)再次使用其用戶名和口令，即使系統(tǒng)管理員也是如此。因而，一個(gè)遠(yuǎn)程工作的CrystalBank員工很快就使用自己的憑據(jù)訪問了抽獎(jiǎng)網(wǎng)站。這些從釣魚網(wǎng)站捕獲的憑據(jù)使得Cashacker團(tuán)隊(duì)可以遠(yuǎn)程訪問CrystalBank的網(wǎng)絡(luò)甚至其它系統(tǒng)。Cashacker還能夠利用從釣魚網(wǎng)站收集的信息執(zhí)行更有針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)。因?yàn)閹缀跞魏稳硕加锌赡鼙贿@種伎倆欺騙：它使用了真實(shí)的用戶名、電子郵件及用戶在抽獎(jiǎng)網(wǎng)站上留下的個(gè)人信息。

通過利用憑據(jù)、特權(quán)提升、持續(xù)不斷的滲透和攻擊，Cashacker幾乎可以訪問CrystalBank的多達(dá)一百臺(tái)服務(wù)器。在此過程中，Cashacker從CrystalBank的服務(wù)器上下載了一個(gè)包含成千上萬行客戶記錄的數(shù)據(jù)庫(kù)。這些記錄的內(nèi)容僅限于姓名、地址、電子郵件地址、電話號(hào)碼等。但是，這些信息僅僅是Cashacker需要執(zhí)行魚叉式網(wǎng)絡(luò)釣魚攻擊從而捕獲更多賬號(hào)信息的重要依據(jù)。

災(zāi)后的CrystalBank

CrystalBank最初被告知發(fā)生損害是在有人發(fā)現(xiàn)秘密黑市將銷售其大量的客戶記錄。這立即導(dǎo)致了公司進(jìn)行全面調(diào)查。在查看了大量的系統(tǒng)日志并在其安全團(tuán)隊(duì)訪問了釣魚郵件的副本后，公司安全團(tuán)隊(duì)重新追蹤相關(guān)步驟和措施。安全團(tuán)隊(duì)發(fā)現(xiàn)了正在使用其證書和密鑰的一個(gè)網(wǎng)站，并且還發(fā)現(xiàn)了DNS的篡改，而且其合作伙伴已經(jīng)執(zhí)行了DNS的所謂變更。

在通過全面安裝和搭建服務(wù)器而修正受危害的系統(tǒng)后，安全團(tuán)隊(duì)還補(bǔ)救了有可能被攻擊者訪問的其它系統(tǒng)，最后CrystalBank重新聯(lián)網(wǎng)。但是，由于Cashacker的攻擊，消費(fèi)者對(duì)CrystalBank的信心受到沉重打擊。業(yè)務(wù)及品牌的破壞如此巨大，損失難以衡量。很明顯，公司的領(lǐng)導(dǎo)層需要立即采取措施提升安全水平。

雖然我們的案例描述了一次成功的釣魚攻擊，其中還有一個(gè)包含大量客戶記錄的數(shù)據(jù)庫(kù)被竊，其實(shí)，幾乎任何類型的數(shù)據(jù)都有可能被竊取。在丟失私鑰后，幾乎任何系統(tǒng)都有可能發(fā)生危害。私鑰是加密敏感的客戶信息和向終端用戶提供信任的基石。因此，SSL密鑰和證書不僅需要加以保護(hù)以防止失竊，還要對(duì)其進(jìn)行持續(xù)的監(jiān)視，以防止誤用或?yàn)E用。由此，最安全的環(huán)境也會(huì)遭受破壞。

為解決證書的濫用問題，企業(yè)需要一種權(quán)威性的密鑰和證書的情報(bào)服務(wù)，根據(jù)證書的信譽(yù)來確認(rèn)欺詐的或異常的密鑰和證書使用。

借助企業(yè)范圍內(nèi)和互聯(lián)網(wǎng)中關(guān)于密鑰和證書的實(shí)時(shí)情報(bào)，企業(yè)可以檢測(cè)與本案例類似的證書被誤用的問題。企業(yè)可以利用列在黑名單中的欺詐證書和非法證書來快速地修復(fù)問題。

總結(jié)

從本案例可以看出，傳統(tǒng)的安全防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠。當(dāng)今的企業(yè)擁有大量的密鑰和用于SSL/TLS、無線網(wǎng)絡(luò)、移動(dòng)、VPN訪問的證書。企業(yè)需要一種方法來管理密鑰和數(shù)字證書，并且對(duì)誤用情況進(jìn)行監(jiān)督和警告。企業(yè)需要一種方案來確認(rèn)什么是可信的，哪些是不可信的和危險(xiǎn)的。但從本案例可以看出，用傳統(tǒng)的工具很難判定數(shù)字證書是否被誤用?？茖W(xué)有效的方案應(yīng)當(dāng)能夠確認(rèn)哪些證書和密鑰是可信的并加以保護(hù)，并修復(fù)或阻止不可信任的密鑰和證書。而且，這種方案還應(yīng)當(dāng)能夠在運(yùn)行過程中不斷地學(xué)習(xí)和適應(yīng)，確定受信任的和需要替換的密鑰和證書。

科學(xué)有效的方案可以使用云服務(wù)不斷地掃描企業(yè)域名的所有SSL使用，能夠防止企業(yè)的證書被誤用。這種方案最好能夠利用一種簡(jiǎn)單界面就可以配置企業(yè)的域名，從而可以掃描企業(yè)在線品牌的所有使用。在配置完成后，該方案還應(yīng)提供一個(gè)證書面板，快速地顯示企業(yè)的證書的健康狀態(tài)。