尽管去年零售巨头的数据泄露导致了大规模的个人识别信息(PII)以及信用卡和借记卡数据失窃目标根据安全公司的一项新研究,该公司的PCI符合性程序可能已经显著减少了损害的范围Aorato,它专门用于activedirectory监视和保护。
利用所有可用的公开报告,首席研究员Tal Aorato 'ery和他的团队记录攻击者用来妥协的目标的所有工具,以创建一个循序渐进的攻击者如何渗透到零售商,其网络内传播,最终抓住了信用卡数据从一个销售点(PoS)系统没有直接连接到互联网。
关于攻击是如何发生的,很多细节仍然不清楚,但Be'ery说,了解攻击是如何发生的很重要,因为犯罪者仍然活跃。就在上周,国土安全部(DHS)和美国特勤局(United States Secret Service)宣布雷竞技比分发布了一个咨询该恶意软件用来攻击塔吉特公司的PoS系统,在过去一年中已经危害了许多其他PoS系统。
追踪攻击就像网络古生物学一样
虽然Be'ery承认奥拉图描述的一些细节可能是不正确的,但他对重建的大部分是准确的很有信心。
“我喜欢把它想成网络古生物学,”Be’ery说。“关于此次事件中发现的工具有很多报道,但他们没有解释袭击者是如何使用这些工具的。这就像有骨头,但不知道恐龙长什么样。但我们知道其他恐龙长什么样子。凭借我们的知识,我们能够重建这只恐龙。”
2013年12月,在本年度最繁忙的购物季期间,有关塔吉特(Target)数据泄露的消息开始逐渐传出。
很快,涓涓细流就变成了洪流,而且最终很明显,攻击者已经获得了7000万客户的个人识别信息(PII),以及4000万张信用卡和借记卡的数据。CIO Beth Jacob和董事长、总裁兼首席执行官Gregg Steinhafel辞职。塔吉特的经济损失可能达到10亿美元,据分析师。
大多数跟踪塔吉特公司报道的人都知道,它始于塔吉特公司HVAC承包商的资质被盗。但是,攻击者是如何从目标网络的边界这个最初的渗透点,到达其行动的核心的呢?Be’ery认为袭击者采取了11个深思熟虑的步骤。
步骤1:安装窃取证书的恶意软件
一开始是窃取塔吉特的HVAC供应商法齐奥机械服务公司(Fazio Mechanical Services)的证书。根据KresonSecurity黑客通过电子邮件钓鱼活动,将一种名为“Citadel”的通用恶意软件感染到这家供应商。
步骤2:使用偷来的凭证进行连接
Be’ery说,攻击者使用偷来的证书访问目标托管的专门为供应商提供的web服务。在一个泄密事件后发表的公开声明法齐奥机械服务公司总裁兼所有者罗斯·法齐奥表示,该公司“不会对塔吉特公司的加热、冷却或制冷系统进行远程监控或控制。”我们与Target的数据连接专门用于电子账单、合同提交和项目管理。”
Be说,这个网络应用程序非常有限。虽然攻击者现在可以访问驻留在Target内部网络上的目标内部web应用程序,但该应用程序不允许任意执行命令,而这是危及计算机所必需的。
步骤3:利用Web应用程序漏洞
攻击者需要找到一个他们可以利用的漏洞。Be'ery指出了列表中公开报告中列出的一个攻击工具,一个名为“xmlrpc.php”的文件。根据Aorato's report, while all the other known attack tool files are Windows executables, this was a PHP file, which is used for running scripts within web applications.
Aorato的报告总结道:“这个文件表明,攻击者能够利用web应用程序中的漏洞上传一个PHP文件。”原因是,web应用程序很可能有一个上传功能,用于上传合法文档(比如,发票)。但就像在网络应用程序中经常发生的那样,没有执行安全检查来确保可执行文件不被上传。”
恶意脚本可能是一个“web shell”,一个基于web的后门,允许攻击者上传文件和执行任意操作系统命令。
Be’ery指出,攻击者很可能将该文件称为“xmlrpc”。,使其看起来像一个流行的php组件——换句话说,攻击者将恶意组件伪装成合法组件,使其在显而易见的情况下隐藏起来。贝厄里说,这种“藏在显而易见的地方”的战术是这些特殊攻击者的特点。他指出,这种战术在整个袭击过程中反复出现。
“他们知道他们最终会被注意到,因为他们在偷信用卡,而将信用卡货币化的方法就是使用它们,”他解释道。“正如我们所看到的,他们在黑市上出售了信用卡号码,不久之后,塔吉特就收到了信用卡公司的入侵通知。攻击者知道这场战役是短暂的,是一次性的。他们不打算投资基础设施,也不打算隐身,因为几天后这场竞选就会结束。他们只要躲在人们的眼皮底下就够了。”
第四步:搜索相关的传播目标
Be’ery说,在这一点上,攻击者不得不减速并做一些侦察。他们有能力运行任意的操作系统命令,但进一步发展将需要目标内部网络布局的情报——他们需要找到保存客户信息和(他们希望的)信用卡数据的服务器。
vector是目标的Active Directory,它包含域的所有成员的数据:用户、计算机和服务。他们能够使用使用标准LDAP协议的内部Windows工具查询Active Directory。Aorato认为,攻击者只是检索了所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称(例如MSSQLvc/billingServer)推断出每个服务的用途。奥拉托表示,这很可能也是攻击者后来用来寻找与位置相关的机器的过程。
奥拉托说,有了目标的名字,攻击者通过查询DNS服务器获得了他们的IP地址。
步骤5:从域管理员那里偷取访问令牌
此时,Be’ery说攻击者已经确定了他们的目标,但是他们需要访问权限来影响目标——最好是域管理员权限。
基于信息给记者布莱恩·克雷布斯的前成员目标的安全团队,以及在其报告中建议由签证违反,Aorato认为,攻击者使用一个著名的攻击技术叫做“Pass-the-Hash”来获得一个NT哈希的令牌,让他们模仿Active Directory管理员——至少直到实际管理员改变他或她的密码。
作为使用这种技术的进一步证据,Aorato指出了工具的使用,包括渗透测试工具,其目的是从内存中登录会话和NTLM凭证,提取域帐户NT/LM哈希值和历史,并从内存中转储密码哈希值。
步骤6:使用偷来的令牌创建一个新的域管理帐户
前面的步骤允许攻击者伪装成一个域管理员,但是如果受害者更改了他们的密码,或者试图访问一些需要显式使用密码的服务(如远程桌面)时,就会失效。然后,下一步是创建一个新的域管理帐户。
攻击者可以使用他们偷来的特权创建一个新帐户,并将其添加到域管理员组中,从而使该帐户获得攻击者所需的特权,同时也使攻击者能够控制密码。
Be’ery说,这是另一个袭击者躲在人们眼皮底下的例子。新的用户名是“best1_user”,与BMC的Bladelogic服务器自动化产品使用的用户名相同。
Be’ery说:“这是一种非常不正常的模式。”他指出,监控用户列表并为管理员账户等敏感账户添加新内容这一简单步骤对于阻止攻击者大有帮助。“你必须监控访问模式。”
他还指出,步骤4中采取的侦察行动是活动监视可以检测到的另一个异常使用示例。
“这是非常重要的监测侦察,”Be’ery说。“每个网络看起来都不一样,结构也不一样。攻击者必须通过查询了解该结构。这种行为与用户的正常模式非常不同。”