黑客攻擊Target的11步
責編:admin |2014-09-11 09:40:20近期,活動目錄(Active Directory)的監測和保護專家Aorato,針對Target數據泄露事件中,黑客如何利用空調供應商竊取了7000萬客戶的數據和4000萬信用卡和借記卡這一過程,做了一份循序漸進的報告。
安全公司Aorato的一項新研究顯示,個人可識別信息(PII)和信用卡及借記卡數據在今年年初的Target數據泄露實踐中遭到大規模偷竊后,該公司的PCI合規新計劃已經大幅降低了損害的范圍。
利用所有可用的公開報告,Aorato的首席研究員Tal Aorato 'ery及其團隊記錄了攻擊者用來攻擊Target的所有工具,并創建了一個循序漸進的過程,來講述攻擊者是如何滲透到零售商、在其網絡內傳播、并最終從PoS系統抓取信用卡數據的。
關于事故的細節依舊模糊,但是Be'ery認為,有必要了解整個攻擊過程,因為黑客們依然存在。
跟蹤攻擊就像網絡古生物學
而Be'ery承認,安全公司Aorato對于一些細節的描述可能是不正確的,但是他確信關于Target網絡系統重建的言論是正確的。
“我喜歡稱之為網絡古生物學”,Be'ery說。有許多報告聲稱,在這個事件中涌現了很多攻擊工具,但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭,卻不知道恐龍到底長什么樣子,所幸的是我們知道其他恐龍的模樣。利用我們的知識,我們可以重建這種恐龍模型。
2013年12月,正值一年當中最繁忙購物季的中期,關于Target數據泄露的言論又回潮了。很快細流變成洪流,日益清晰的是攻擊者已經獲取了7000萬消費者的個人身份信息以及4000萬信用卡和借記卡的數據信息。Target的CIO和董事長、總裁兼首席執行官紛紛引咎辭職。分析師稱,預計經濟損失可能達到10億美元。
了解上述事件的大多數人都知道它始于竊取Target供應商的信用憑證。但攻擊者是如何從Target網絡的邊界逐步滲透到核心業務系統?Be'ery認為,攻擊者深思熟慮采取了11個步驟。
第一步:安裝竊取信用卡憑證的惡意軟件
攻擊者首先竊取了Target空調供應商Fazio Mechanical Services的憑證。根據首先打破合規故事的Kreson Security,襲擊者首先通過電子郵件與惡意軟件開展了感染供應商的釣魚活動。
第二步:利用竊取的憑證建立連接
攻擊者使用竊取的憑證訪問Target致力于服務供應商的主頁。在違規發生后的公開聲明中,Fazio Mechanical Services的主席和持有人Ross Fazio表示,該公司不對Target的加熱、冷卻和制冷系統執行遠程監控。其與Target網絡連接的數據是專門用于電子賬單、提交合同和項目管理的。
這個Web應用程序是非常有限的。雖然攻擊者現在可以使用托管在Target內部網絡Web應用程序進入Target,應用程序還是不允許任意命令執行,而這將在攻擊過程中是十分緊迫的。
第三步:開發Web程序漏洞
攻擊者需要找到一處可以利用的漏洞。Be'ery指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據Aorato的報告,當所有其他已知的攻擊工具文件是Windows可執行文件時,這就是一個在Web應用程序內運行腳本的PHP文件。
“這個文件表明,攻擊者能夠通過利Web應用程序中的一個漏洞上傳PHP文件,”Aorato報告顯示,原因可能Web應用程序有一個用以上傳發票等合法文件的上傳功能。但正如經常發生在Web應用程序中的事故,始終沒有恰當的安全檢查以確保執行可執行文件沒有上傳。
惡意腳本可能是一個“Web殼”,一個基Web并允許攻擊者上傳文件和執行任意操作系統命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環節引起注意,”他解釋說。他們在黑市上出售了信用卡號碼,不久之后Target就被通知數據泄露。
第四步:細心偵查
此時,攻擊者不得不放慢腳步,來細心做一些偵察。他們有能力運行任意操作系統命令,但進一步的行動還需要Target內部網絡的情報,所以他們需要找到存儲客戶信息和信用卡數據的服務器。
目標是Target的活動目錄,這包括數據域的所有成員:用戶、計算機和服務。他們能夠利用內部Windows工具和LDAP協議查詢活動目錄。Aorato相信,攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務,然后通過查看服務器的名稱來推斷出每個服務器的目的。這也有可能是攻擊者稍后用以使用來找到PoS-related機器的過程。
利用攻擊目標的名字,Aorato認為,攻擊者將隨后獲得查詢DNS服務器的IP地址。