黑客攻击我们的11步详解及防御建议

2014-04-16张建国

计算机与网络 2014年18期

■张建国

黑客攻击我们的11步详解及防御建议

■张建国

安全公司Aorato的一项新研究显示，个人可识别信息（PII）和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后，该公司的PCI合规新计划已经大幅降低了损害的范围。

利用所有可用的公开报告，Aorato的首席研究员Tal Aorato‘ery及其团队记录了攻击者用来攻击Target的所有工具，并创建了一个循序渐进的过程，来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。

跟踪攻击就像网络古生物学

Be’ery承认，“我喜欢称之为网络古生物学”。有许多报告声称，在这个事件中涌现了很多攻击工具，但是他们没有解释攻击者究竟是如何使用这些工具的。

2013年12月，正值一年当中最繁忙购物季的中期，关于Target数据泄露的言论又回潮了。很快细流变成洪流，日益清晰的是攻击者已经获取了7000万消费者的个人身份信息以及4000万信用卡和借记卡的数据信息。Target的CIO和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称，预计经济损失可能达到10亿美元。

了解上述事件的大多数人都知道它始于窃取Target供应商的信用凭证。但攻击者是如何从Target网络的边界逐步渗透到核心业务系统？Be’ery认为，攻击者深思熟虑采取了11个步骤。

第一步：安装窃取信用卡凭证的恶意软件

攻击者首先窃取了Target空调供应商Fazio Mechanical Services的凭证。根据首先打破合规故事的Kreson Security，袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。

第二步：利用窃取的凭证建立连接

攻击者使用窃取的凭证访问Target致力于服务供应商的主页。在违规发生后的公开声明中，Fazio Mechanical Services的主席和持有人Ross Fazio表示，该公司不对Target的加热、冷却和制冷系统执行远程监控。其与Target网络连接的数据是专门用于电子账单、提交合同和项目管理的。

第三步：开发Web程序漏洞

攻击者需要找到一处可以利用的漏洞。“根据Aorato的报告，当所有其他已知的攻击工具文件是Windows可执行文件时，这就是一个在Web应用程序内运行脚本的PHP文件。

“这个文件表明，攻击者能够通过利Web应用程序中的一个漏洞上传PHP文件，”Aorato报告显示，原因可能Web应用程序有一个用以上传发票等合法文件的上传功能。

恶意脚本可能是一个“Web壳”，一个基Web并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意，”他解释说。他们在黑市上出售了信用卡号码，不久之后Target就被通知数据泄露。

第四步：细心侦查

此时，攻击者不得不放慢脚步，来细心做一些侦察。他们有能力运行任意操作系统命令，但进一步的行动还需要Target内部网络的情报，所以他们需要找到存储客户信息和信用卡数据的服务器。

目标是Target的活动目录，这包括数据域的所有成员：用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信，攻击者只是检索所有包含字符串“MSSQLSvc”的服务，然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。利用攻击目标的名字，Aorato认为，攻击者将随后获得查询DNS服务器的IP地址。

第五步：窃取域管理员访问令牌

至此，Be’ery认为，攻击者已经确定他们的目标，但他们需要访问权限尤其是域管理员权限来帮助他们。

基于前Target安全团队成员提供给记者Brian Krebs的信息，Aorato认为，攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个NT令牌，让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。

随着这种技术的深入证实，Aorato指向了工具的使用，包括用于从内存中登录会话和NTLM凭证的渗透测试工具、提取域账户NT/LM历史的散列密码。

第六步：新的域管理员帐户

上一步允许攻击者伪装成域管理员，然而一旦受害者改变了密码，或者当试图访问一些需要显示使用密码的服务(如远程桌面)时，他就成为无效的。那么，下一步是创建一个新的域管理员帐户。

攻击者能够使用他们窃取的特权来创建一个新帐户，并将它添加到域管理组，将帐户特权提供给攻击者，同时也给攻击者控制密码的机会。

Be’ery说，这是攻击者隐藏在普通场景中的另一个例子。新用户名是与BMC Bladelogic服务器用户名相同的“best1_user”。

“这是一个高度异常的模式”，Be’ery说，时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界)，所以必须监控访问模式。

第七步：使用新的管理凭证传播到有关计算机

用新的访问凭证，攻击者现在可以继续追求其攻击目标。但是Aorato指出了其路径中的两个障碍：绕过防火墙和限制直接访问相关目标的其他网络安全解决方案，并针对其攻击目标在各种机器上运行远程程序。

Aorato说，攻击者用“愤怒的IP扫描器”检测连网电脑，穿过一系列的服务器来绕过安全工具。

至于在目标服务器上远程执行程序，攻击者使用其凭证连接微软PSExec应用程序 (在其他系统上执行进程的telnet-replacement)和Windows内部远程桌面客户端。

Aorato指出，这2个工具都使用Active Directory用户进行身份验证和授权，这意味着一旦有人在搜寻，Active Directory将第一时间知晓。

一旦攻击者访问目标系统，他们会使用微软的协调器管理解决方案来获得持续的访问，这将允许他们在受攻击的服务器上远程执行任意代码。

第八步：窃取PII 7000万

Aorato说，在这一步，袭击者使用SQL查询工具来评估价数据库服务器和检索数据库内容的SQL批量复制工具的价值。这个过程，其实就是PCI合规所提出的黑客造成的严重数据泄露事故——4000万信用卡。

当攻击者已经成功访问7000万的Target目标客户时，它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。

既然Target符合PCI合规，数据库不存储任何信用卡的具体数据，因此他们不得不转向B计划来直接从销售的角度窃取信用卡。

第九步：安装恶意软件窃取4000万信用卡

PoS系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时，才会专注于将PoS机作为应急。在第四步中使用网络和第七步的远程执行功能，袭击者在PoS机上安装了Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。唯独在这一步中，袭击者会使用专门的恶意软件而不是常见的工具。