第7步:传播到相关计算机上使用新的管理员凭证
在他们的新凭证,攻击者现在就可以继续他们的目标后去了。但Aorato注意到两个障碍在他们的路径:绕过防火墙和其他基于网络的安全解决方案,限制相关目标的直接访问,并在向着链及其相关指标在不同的机器上运行远程进程。
Aorato说,攻击者使用的“愤怒的IP扫描”,以检测是网络从目前的计算机访问,然后通过一系列的服务器的隧道绕过一个端口的安全措施转发IT工具电脑。
至于远程执行目标服务器上的进程,Aorato说,攻击者使用他们的证书与微软PSEXEC实用程序(一个telnet替代用于执行其他系统进程)和Windows内部的远程桌面(RDP)客户端结合。
这两个工具的使用Active Directory Aorato票据验证和授权用户,这意味着Active Directory是知道这个活动,如果有人正在寻找它。
一旦攻击者必须访问目标系统,他们使用了微软的Orchestrator的管理解决方案,以获得持久访问,这将让他们在受感染的服务器上远程执行任意代码。
第8步:窃取70万元PII。没有找到信用卡
在这一点上,Aorato说,攻击者使用SQL查询工具来评估数据库服务器的值和SQL批量复制工具检索数据库内容。在这里,Be'ery说,就是PCI合规似乎已经呈现的一大障碍袭击者 - 最终可能是什么他们保持窃取“只有” 40万张信用卡和借记卡,而超过7000万,减少了40%的事件的影响。
的第3.2节PCI-DSS标准状态:“不要授权(即使加密)后,敏感的验证数据存储如果收到敏感验证数据,使授权过程完成后不可恢复的所有数据。”
换句话说,而攻击者已经成功地获得7000万个目标客户的PII,它没有获得信用卡。攻击者将有一个新的计划重新集结。
“既然目标是符合PCI标准,数据库没有存储任何信用卡的具体数据,所以他们不得不切换到B计划,并直接从销售本身的点偷信用卡,” Be'ery说。
第9步:安装恶意软件。窃取40万张信用卡
POS系统可能不是袭击者的最初目标,Be'ery说。只有当他们不能,他们已经访问,他们专注于POS机作为应急的服务器上获取信用卡数据。使用步骤4和步骤7期间获取了远程执行功能期间囊括在intel,攻击者在POS机安装Kaptoxa(发音为“嘉脚趾-SHA”)。该恶意软件被用来扫描受感染的计算机的内存,并发现保存到本地文件的任何信用卡。
这一步,Be'ery笔记,是唯一一个在攻击者似乎已经习惯定制编写的恶意软件,而不是常见的IT工具。
“有杀毒软件就不能帮助你在这种情况下,”他说。“当赌注是如此之高,在数千万美元的利润,他们不关心度身定制工具的成本。”
第10步:通过网络共享发送数据被盗
一旦恶意软件所获得的信用卡数据,它创造了使用Windows命令和域管理员凭据的远程,支持FTP的机器上远程文件共享。它将其本地文件定期复制到远程共享。
再次,Be'ery指出,这些活动将被授权对活动目录,使其认识到活动的。
步骤11:通过FTP发送数据被盗
最后,一旦启用FTP的机器上的数据到达时,一个脚本用于将文件发送到攻击者的控制使用Windows内置的FTP客户端FTP核算。
“最初的切入点是不是故事,因为最终你必须假设你会得到突破,” Be'ery说。“你不能以其他方式承担。你必须准备并具备当你被突破该怎么做事件响应计划。当恶意软件能够使攻击者能够更深地渗透到网络,真正的问题就出现了。”
“如果你有正确的知名度,该活动真正脱颖而出,”他补充道。
如何保护您的企业
Be'ery建议企业采取以下措施来保护自己:
- 哈登的访问控制。监视和分析访问模式的系统识别异常和欺诈接入模式。如果可能的话,使用多因素身份验证敏感的系统,以减少与证书被盗的风险。隔离的网络,允许有限使用的协议,并限制用户的过度特权。
- 监视用户的名单增加新的用户,尤其是那些享有特权的。
- 监视侦察和信息收集的迹象。要特别注意过度和不正常的LDAP查询。
- 对于敏感的,单一用途的服务器,请考虑允许白名单程序。
- 不要依赖于反恶意软件解决方案为主要缓解措施,因为攻击者大多利用合法的IT工具。
- 地方安全和监控各地的Active Directory的控制,因为它是参与进攻的几乎所有阶段。
- 参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组获得关于攻击者的战术,技术和程序(的TTP)有价值的情报。
这个故事,“11名步骤攻击者走上裂缝目标”最初发表CIO 。