十一个步骤让你了解黑客是如何一步步攻击我们的 防御措施
黑客最早源自英文hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但如今,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙.
安全公司 Aorato 的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的 Target 数据泄露实践中遭到大规模偷窃后,该公司的 PCI 合规新计划已经大幅降低了损害的范围。
利用所有可用的公开报告,Aorato 的首席研究员 Tal Aorato ‘ery 及其团队记录了攻击者用来攻击 Target 的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从 PoS 系统抓取信用卡数据的。关于事故的细节依旧模糊,但是 Be’ery 认为,有必要了解整个攻击过程,因为黑客们依然存在。
跟踪攻击就像网络古生物学
而 Be’ery 承认,安全公司 Aorato 对于一些细节的描述可能是不正确的,但是他确信关于 Target 网络系统重建的言论是正确的。
“我喜欢称之为网络古生物学”,Be’ery 说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。
2013 年 12 月,正值一年当中最繁忙购物季的中期,关于 Target 数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了 7000 万消费者的个人身份信息以及 4000 万信用卡和借记卡的数据信息。Target 的 CIO 和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到 10 亿美元。
了解上述事件的大多数人都知道它始于窃取 Target 供应商的信用凭证。但攻击者是如何从 Target 网络的边界逐步渗透到核心业务系统?Be’ery 认为,攻击者深思熟虑采取了 11 个步骤。
第一步:安装窃取信用卡凭证的恶意软件
攻击者首先窃取了 Target 空调供应商 Fazio Mechanical Services 的凭证。根据首先打破合规故事的 Kreson Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。
第二步:利用窃取的凭证建立连接
攻击者使用窃取的凭证访问 Target 致力于服务供应商的主页。在违规发生后的公开声明中,Fazio Mechanical Services 的主席和持有人 Ross
Fazio 表示,该公司不对 Target 的加热、冷却和制冷系统执行远程监控。其与 Target 网络连接的数据是专门用于电子账单、提交合同和项目管理的。
这个 Web 应用程序是非常有限的。虽然攻击者现在可以使用托管在 Target 内部网络 Web 应用程序进入 Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。
第三步:开发 Web 程序漏洞
攻击者需要找到一处可以利用的漏洞。Be’ery 指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据 Aorato 的报告,当所有其他已知的攻击工具文件是 Windows 可执行文件时,这就是一个在 Web 应用程序内运行脚本的 PHP 文件。
“这个文件表明,攻击者能够通过利 Web 应用程序中的一个漏洞上传 PHP 文件,”Aorato 报告显示,原因可能 Web 应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在 Web 应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。
恶意脚本可能是一个“Web 壳”,一个基 Web 并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后 Target 就被通知数据泄露。
第四步:细心侦查
此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要 Target 内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。
目标是 Target 的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部 Windows 工具和 LDAP 协议查询活动目录。Aorato 相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到 PoS-related 机器的过程。利用攻击目标的名字,Aorato 认为,攻击者将随后获得查询 DNS 服务器的 IP 地址。
第五步:窃取域管理员访问令牌
至此,Be’ery 认为,攻击者已经确定他们的目标,但他们需要访问权限尤其是域管理员权限来帮助他们。
基于前 Target 安全团队成员提供给记者 Brian Krebs 的信息,Aorato 认为,攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个 NT 令牌,让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。
随着这种技术的深入证实,Aorato 指向了工具的使用,包括用于从内存中登录会话和 NTLM 凭证的渗透测试工具、提取域账户 NT / LM 历史的散列密码。
第六步:新的域管理员帐户
上一步允许攻击者伪装成域管理员,然而一旦受害者改变了密码,或者当试图访问一些需要显示使用密码的服务(如远程桌面)时,他就成为无效的。那么,下一步是创建一个新的域管理员帐户。
攻击者能够使用他们窃取的特权来创建一个新帐户,并将它添加到域管理组,将帐户特权提供给攻击者,同时也给攻击者控制密码的机会。
Be’ery 说,这是攻击者隐藏在普通场景中的另一个例子。新用户名是与 BMC Bladelogic 服务器用户名相同的“best1_user”。
“这是一个高度异常的模式”,Be’ery 说,时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界),所以必须监控访问模式。
第七步:使用新的管理凭证传播到有关计算机
用新的访问凭证,攻击者现在可以继续追求其攻击目标。但是 Aorato 指出了其路径中的两个障碍:绕过防火墙和限制直接访问相关目标的其他网络安全解决方案,并针对其攻击目标在各种机器上运行远程程序。
Aorato 说,攻击者用“愤怒的 IP 扫描器”检测连网电脑,穿过一系列的服务器来绕过安全工具。
至于在目标服务器上远程执行程序,攻击者使用其凭证连接微软 PSExec 应用程序(在其他系统上执行进程的 telnet-replacement)和 Windows 内部远程桌面客户端。
Aorato 指出,这两个工具都使用 Active Directory 用户进行身份验证和授权,这意味着一旦有人在搜寻,Active Directory 将第一时间知晓。
一旦攻击者访问目标系统,他们会使用微软的协调器管理解决方案来获得持续的访问,这将允许他们在受攻击的服务器上远程执行任意代码。
第八步:窃取PII 7000 万
Aorato 说,在这一步,袭击者使用 SQL 查询工具来评估价数据库服务器和检索数据库内容的 SQL 批量复制工具的价值。这个过程,其实就是 PCI 合规所提出的黑客造成的严重数据泄露事故——4000 万信用卡。
当攻击者已经成功访问 7000 万的 Target 目标客户时,它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。
既然 Target 符合 PCI 合规,数据库不存储任何信用卡的具体数据,因此他们不得不转向B计划来直接从销售的角度窃取信用卡。
第九步:安装恶意软件窃取 4000 万信用卡
PoS 系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时,才会专注于将 PoS 机作为应急。在第四步中使用网络和第七步的远程执行功能,袭击者在 PoS 机上安装了 Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。
唯独在这一步中,袭击者会使用专门的恶意软件而不是常见的工具。
“拥有防病毒工具也不会在这种情况下起到作用”他说,“当赌注太高、利润数千万美元时,他们根本不介意创造特制工具的成本。”
第十步:通过网络共享传递窃取数据
一旦恶意软件获取了信用卡数据,它就会使用 Windows 命令和域管理凭证在远程的 FTP 机器上创建一个远程文件共享,并会定期将本地文件复制到远程共享。Be’ery 在此强调,这些活动会针对 Activity
Directory 获得授权。
第十一步:通过 FTP 传送窃取数据
最后,一旦数据到达 FTP 设备,可以使用 Windows 内部的 FTP 客户端将一个脚本将文件发送到已被攻击者控制的 FTP 账号。
初始渗透点并不是故事的终结,因为最终你必须假设你最终将被攻击。你必须做好准备,并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时,真正的问题才会出现。如果你有正确的判断力,问题将会真的显示出来。
如何保护你的企业或组织
加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证进入相关敏感系统,以减少与信用卡凭证相关的风险。隔离网络,并限制协议使用和用户的过度特权。
监控用户的列表,时刻关注新添加用户,尤其是有特权的用户。
监控侦察和信息收集的迹象,特别注意过度查询和不正常的 LDAP 查询。
考虑允许项目的白名单。
不要依赖反恶意软件解决方案作为主要缓解措施,因为攻击者主要利用合法的工具。
在 Active Directory 上安装安全与监测控制设备,因为其参与几乎所有阶段的攻击。
参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组织,以获得情报袭击者宝贵的战术、技术和程序(TTPs)。
推荐系统
雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载
系统大小:0MB系统类型:WinXP雨林木风在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业知名品牌,雨林木风WindowsXP其系统口碑得到许多人认可,积累了广大的用户群体,是一款稳定流畅的系统,雨林木风 winxp下载 纯净版 永久激活 winxp ghost系统 sp3 系统下载,有需要的朋友速度下载吧。
系统等级:进入下载 >萝卜家园win7纯净版 ghost系统下载 x64 联想电脑专用
系统大小:0MB系统类型:Win7萝卜家园win7纯净版是款非常纯净的win7系统,此版本优化更新了大量的驱动,帮助用户们进行舒适的使用,更加的适合家庭办公的使用,方便用户,有需要的用户们快来下载安装吧。
系统等级:进入下载 >雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载
系统大小:1.01GB系统类型:WinXP雨林木风xp系统 xp系统纯净版 winXP ghost xp sp3 纯净版系统下载,雨林木风WinXP系统技术积累雄厚深耕多年,采用了新的系统功能和硬件驱动,可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,加固了系统安全策略,运行环境安全可靠稳定。
系统等级:进入下载 >萝卜家园win10企业版 免激活密钥 激活工具 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,(win10企业版,win10 ghost,win10镜像),萝卜家园win10企业版 免激活密钥 激活工具 ghost镜像 X64位系统下载,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园
系统等级:进入下载 >萝卜家园windows10游戏版 win10游戏专业版 V2023 X64位系统下载
系统大小:0MB系统类型:Win10萝卜家园windows10游戏版 win10游戏专业版 ghost X64位 系统下载,萝卜家园在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的萝卜家园品牌,其系统口碑得到许多人认可,积累了广大的用户群体,萝卜家园win10纯净版是一款稳定流畅的系统,一直以来都以用户为中心,是由萝卜家园win10团队推出的萝卜家园win10国内镜像版,基于国内用户的习惯,做
系统等级:进入下载 >windows11下载 萝卜家园win11专业版 X64位 V2023官网下载
系统大小:0MB系统类型:Win11萝卜家园在系统方面技术积累雄厚深耕多年,windows11下载 萝卜家园win11专业版 X64位 官网正式版可以更好的发挥系统的性能,优化了系统、驱动对硬件的加速,使得软件在WINDOWS11系统中运行得更加流畅,加固了系统安全策略,WINDOWS11系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。
系统等级:进入下载 >
相关文章
- 安卓手机QQ 4.7.2正式发布 显示在线好友的网络状态
- 瑞星安全随身WiFi怎么用 瑞星随身WiFi有何亮点以及使用方法
- 您的WiFi安全吗?让路由卫士来为您把关让它变得更快,更安全
- 大势至局域网共享文件管理软件详细记录服务器共享文件访问日志、保护共享文件安全
- 金山毒霸发布全新的V11新春版:杀毒速度更快/软件净化
- WinXP如何进入安全模式?WinXP进入安全模式设置
- 怎样消除免费WIFI的安全隐患?一张图看懂免费WIFI的安全隐患
- 毒app优惠券怎么获得 毒app无门槛优惠券攻略
- 京东通信卡流量超标怎样关闭移动网络?
- 详解火绒安全软件怎么样
- Win10系统下安全登录失败初始化失败怎么办?
- 360安全卫士怎么更改默认软件?
- 360称特斯拉应用存漏洞 特斯拉不安全?
- win10安全模式跳过开机密码可行吗
热门系统
推荐软件
推荐应用
推荐游戏
热门文章
常用系统
- 1雨林木风win10游戏专用版 x64位永久激活 ghost镜像 笔记本专用下载
- 2萝卜家园WIN11纯净版免激活 中文系统 X64位 V2022.07下载
- 3win10专业版(深度技术)GHost镜像系统 21H2 X64位 V2022.04下载
- 4Windows11家庭版下载 雨林木风 X64位高性能版本下载 笔记本专用
- 5Win11专业版下载 深度技术系统特别奉献 最新免激活ghost系统 ISO镜像 X64位
- 6windows7稳定版下载 深度技术x64万能版 ghost系统下载 自动激活
- 7技术员联盟win10稳定版 ghost系统下载 x64位 笔记本专用下载
- 8系统之家winXP纯净版 ghost iso V2022.05 XP ghost镜像最新版下载
- 9雨林木风Win10 企业版系统下载 Ghost Windows10 32位系统 V2021.11