黑客攻擊Target的11步
責(zé)編:admin |2014-09-11 09:40:20近期,活動目錄(Active Directory)的監(jiān)測和保護(hù)專家Aorato,針對Target數(shù)據(jù)泄露事件中,黑客如何利用空調(diào)供應(yīng)商竊取了7000萬客戶的數(shù)據(jù)和4000萬信用卡和借記卡這一過程,做了一份循序漸進(jìn)的報告。
安全公司Aorato的一項新研究顯示,個人可識別信息(PII)和信用卡及借記卡數(shù)據(jù)在今年年初的Target數(shù)據(jù)泄露實踐中遭到大規(guī)模偷竊后,該公司的PCI合規(guī)新計劃已經(jīng)大幅降低了損害的范圍。
利用所有可用的公開報告,Aorato的首席研究員Tal Aorato 'ery及其團(tuán)隊記錄了攻擊者用來攻擊Target的所有工具,并創(chuàng)建了一個循序漸進(jìn)的過程,來講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從PoS系統(tǒng)抓取信用卡數(shù)據(jù)的。
關(guān)于事故的細(xì)節(jié)依舊模糊,但是Be'ery認(rèn)為,有必要了解整個攻擊過程,因為黑客們依然存在。
跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)
而Be'ery承認(rèn),安全公司Aorato對于一些細(xì)節(jié)的描述可能是不正確的,但是他確信關(guān)于Target網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。
“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”,Be'ery說。有許多報告聲稱,在這個事件中涌現(xiàn)了很多攻擊工具,但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭,卻不知道恐龍到底長什么樣子,所幸的是我們知道其他恐龍的模樣。利用我們的知識,我們可以重建這種恐龍模型。
2013年12月,正值一年當(dāng)中最繁忙購物季的中期,關(guān)于Target數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流,日益清晰的是攻擊者已經(jīng)獲取了7000萬消費者的個人身份信息以及4000萬信用卡和借記卡的數(shù)據(jù)信息。Target的CIO和董事長、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱,預(yù)計經(jīng)濟損失可能達(dá)到10億美元。
了解上述事件的大多數(shù)人都知道它始于竊取Target供應(yīng)商的信用憑證。但攻擊者是如何從Target網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)?Be'ery認(rèn)為,攻擊者深思熟慮采取了11個步驟。
第一步:安裝竊取信用卡憑證的惡意軟件
攻擊者首先竊取了Target空調(diào)供應(yīng)商Fazio Mechanical Services的憑證。根據(jù)首先打破合規(guī)故事的Kreson Security,襲擊者首先通過電子郵件與惡意軟件開展了感染供應(yīng)商的釣魚活動。
第二步:利用竊取的憑證建立連接
攻擊者使用竊取的憑證訪問Target致力于服務(wù)供應(yīng)商的主頁。在違規(guī)發(fā)生后的公開聲明中,F(xiàn)azio Mechanical Services的主席和持有人Ross Fazio表示,該公司不對Target的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與Target網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項目管理的。
這個Web應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在Target內(nèi)部網(wǎng)絡(luò)Web應(yīng)用程序進(jìn)入Target,應(yīng)用程序還是不允許任意命令執(zhí)行,而這將在攻擊過程中是十分緊迫的。
第三步:開發(fā)Web程序漏洞
攻擊者需要找到一處可以利用的漏洞。Be'ery指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù)Aorato的報告,當(dāng)所有其他已知的攻擊工具文件是Windows可執(zhí)行文件時,這就是一個在Web應(yīng)用程序內(nèi)運行腳本的PHP文件。
“這個文件表明,攻擊者能夠通過利Web應(yīng)用程序中的一個漏洞上傳PHP文件,”Aorato報告顯示,原因可能Web應(yīng)用程序有一個用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在Web應(yīng)用程序中的事故,始終沒有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒有上傳。
惡意腳本可能是一個“Web殼”,一個基Web并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意,”他解釋說。他們在黑市上出售了信用卡號碼,不久之后Target就被通知數(shù)據(jù)泄露。
第四步:細(xì)心偵查
此時,攻擊者不得不放慢腳步,來細(xì)心做一些偵察。他們有能力運行任意操作系統(tǒng)命令,但進(jìn)一步的行動還需要Target內(nèi)部網(wǎng)絡(luò)的情報,所以他們需要找到存儲客戶信息和信用卡數(shù)據(jù)的服務(wù)器。
目標(biāo)是Target的活動目錄,這包括數(shù)據(jù)域的所有成員:用戶、計算機和服務(wù)。他們能夠利用內(nèi)部Windows工具和LDAP協(xié)議查詢活動目錄。Aorato相信,攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù),然后通過查看服務(wù)器的名稱來推斷出每個服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來找到PoS-related機器的過程。
利用攻擊目標(biāo)的名字,Aorato認(rèn)為,攻擊者將隨后獲得查詢DNS服務(wù)器的IP地址。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!