安全公司Aorato的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后,该公司的PCI合规新计划已经大幅降低了损害的范围。
利用所有可用的公开报告,Aorato的首席研究员Tal Aorato ‘ery及其团队记录了攻击者用来攻击Target的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。关于事故的细节依旧模糊,但是Be’ery认为,有必要了解整个攻击过程,因为黑客们依然存在。
而Be’ery承认,安全公司Aorato对于一些细节的描述可能是不正确的,但是他确信关于Target网络系统重建的言论是正确的。
“我喜欢称之为网络古生物学”,Be’ery说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。
2013年12月,正值一年当中最繁忙购物季的中期,关于Target数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了7000万消费者的个人身份信息以及4000万信用卡和借记卡的数据信息。Target的CIO和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到10亿美元。
了解上述事件的大多数人都知道它始于窃取Target供应商的信用凭证。但攻击者是如何从Target网络的边界逐步渗透到核心业务系统?Be’ery认为,攻击者深思熟虑采取了11个步骤。
攻击者首先窃取了Target空调供应商Fazio Mechanical Services的凭证。根据首先打破合规故事的Kreson Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。
攻击者使用窃取的凭证访问Target致力于服务供应商的主页。在违规发生后的公开声明中,Fazio Mechanical Services的主席和持有人Ross
Fazio表示,该公司不对Target的加热、冷却和制冷系统执行远程监控。其与Target网络连接的数据是专门用于电子账单、提交合同和项目管理的。
这个Web应用程序是非常有限的。虽然攻击者现在可以使用托管在Target内部网络Web应用程序进入Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。
攻击者需要找到一处可以利用的漏洞。Be’ery指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据Aorato的报告,当所有其他已知的攻击工具文件是Windows可执行文件时,这就是一个在Web应用程序内运行脚本的PHP文件。
“这个文件表明,攻击者能够通过利Web应用程序中的一个漏洞上传PHP文件,”Aorato报告显示,原因可能Web应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在Web应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。
恶意脚本可能是一个“Web壳”,一个基Web并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后Target就被通知数据泄露。
此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要Target内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。
目标是Target的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。利用攻击目标的名字,Aorato认为,攻击者将随后获得查询DNS服务器的IP地址。
至此,Be’ery认为,攻击者已经确定他们的目标,但他们需要访问权限尤其是域管理员权限来帮助他们。
基于前Target安全团队成员提供给记者Brian Krebs的信息,Aorato认为,攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个NT令牌,让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。
随着这种技术的深入证实,Aorato指向了工具的使用,包括用于从内存中登录会话和NTLM凭证的渗透测试工具、提取域账户NT / LM历史的散列密码。
上一步允许攻击者伪装成域管理员,然而一旦受害者改变了密码,或者当试图访问一些需要显示使用密码的服务(如远程桌面)时,他就成为无效的。那么,下一步是创建一个新的域管理员帐户。
攻击者能够使用他们窃取的特权来创建一个新帐户,并将它添加到域管理组,将帐户特权提供给攻击者,同时也给攻击者控制密码的机会。
Be’ery说,这是攻击者隐藏在普通场景中的另一个例子。新用户名是与BMC Bladelogic服务器用户名相同的“best1_user”。
“这是一个高度异常的模式”,Be’ery说,时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止(+微信关注网络世界),所以必须监控访问模式。
用新的访问凭证,攻击者现在可以继续追求其攻击目标。但是Aorato指出了其路径中的两个障碍:绕过防火墙和限制直接访问相关目标的其他网络安全解决方案,并针对其攻击目标在各种机器上运行远程程序。
Aorato说,攻击者用“愤怒的IP扫描器”检测连网电脑,穿过一系列的服务器来绕过安全工具。
至于在目标服务器上远程执行程序,攻击者使用其凭证连接微软PSExec应用程序(在其他系统上执行进程的telnet-replacement)和Windows内部远程桌面客户端。
Aorato指出,这两个工具都使用Active Directory用户进行身份验证和授权,这意味着一旦有人在搜寻,Active Directory将第一时间知晓。
一旦攻击者访问目标系统,他们会使用微软的协调器管理解决方案来获得持续的访问,这将允许他们在受攻击的服务器上远程执行任意代码。
Aorato说,在这一步,袭击者使用SQL查询工具来评估价数据库服务器和检索数据库内容的SQL批量复制工具的价值。这个过程,其实就是PCI合规所提出的黑客造成的严重数据泄露事故——4000万信用卡。
当攻击者已经成功访问7000万的Target目标客户时,它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。
既然Target符合PCI合规,数据库不存储任何信用卡的具体数据,因此他们不得不转向B计划来直接从销售的角度窃取信用卡。
PoS系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时,才会专注于将PoS机作为应急。在第四步中使用网络和第七步的远程执行功能,袭击者在PoS机上安装了Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。
唯独在这一步中,袭击者会使用专门的恶意软件而不是常见的工具。
“拥有防病毒工具也不会在这种情况下起到作用”他说,“当赌注太高、利润数千万美元时,他们根本不介意创造特制工具的成本。”
一旦恶意软件获取了信用卡数据,它就会使用Windows命令和域管理凭证在远程的FTP机器上创建一个远程文件共享,并会定期将本地文件复制到远程共享。Be’ery在此强调,这些活动会针对Activity
Directory获得授权。
最后,一旦数据到达FTP设备,可以使用Windows内部的FTP客户端将一个脚本将文件发送到已被攻击者控制的FTP账号。
初始渗透点并不是故事的终结,因为最终你必须假设你最终将被攻击。你必须做好准备,并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时,真正的问题才会出现。如果你有正确的判断力,问题将会真的显示出来。
加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证进入相关敏感系统,以减少与信用卡凭证相关的风险。隔离网络,并限制协议使用和用户的过度特权。