黑客攻擊Target的11步
責(zé)編:admin |2014-09-11 09:40:20近期,活動(dòng)目錄(Active Directory)的監(jiān)測(cè)和保護(hù)專家Aorato,針對(duì)Target數(shù)據(jù)泄露事件中,黑客如何利用空調(diào)供應(yīng)商竊取了7000萬(wàn)客戶的數(shù)據(jù)和4000萬(wàn)信用卡和借記卡這一過(guò)程,做了一份循序漸進(jìn)的報(bào)告。
安全公司Aorato的一項(xiàng)新研究顯示,個(gè)人可識(shí)別信息(PII)和信用卡及借記卡數(shù)據(jù)在今年年初的Target數(shù)據(jù)泄露實(shí)踐中遭到大規(guī)模偷竊后,該公司的PCI合規(guī)新計(jì)劃已經(jīng)大幅降低了損害的范圍。
利用所有可用的公開(kāi)報(bào)告,Aorato的首席研究員Tal Aorato 'ery及其團(tuán)隊(duì)記錄了攻擊者用來(lái)攻擊Target的所有工具,并創(chuàng)建了一個(gè)循序漸進(jìn)的過(guò)程,來(lái)講述攻擊者是如何滲透到零售商、在其網(wǎng)絡(luò)內(nèi)傳播、并最終從PoS系統(tǒng)抓取信用卡數(shù)據(jù)的。
關(guān)于事故的細(xì)節(jié)依舊模糊,但是Be'ery認(rèn)為,有必要了解整個(gè)攻擊過(guò)程,因?yàn)楹诳蛡円廊淮嬖凇?/p>
跟蹤攻擊就像網(wǎng)絡(luò)古生物學(xué)
而B(niǎo)e'ery承認(rèn),安全公司Aorato對(duì)于一些細(xì)節(jié)的描述可能是不正確的,但是他確信關(guān)于Target網(wǎng)絡(luò)系統(tǒng)重建的言論是正確的。
“我喜歡稱之為網(wǎng)絡(luò)古生物學(xué)”,Be'ery說(shuō)。有許多報(bào)告聲稱,在這個(gè)事件中涌現(xiàn)了很多攻擊工具,但是他們沒(méi)有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭,卻不知道恐龍到底長(zhǎng)什么樣子,所幸的是我們知道其他恐龍的模樣。利用我們的知識(shí),我們可以重建這種恐龍模型。
2013年12月,正值一年當(dāng)中最繁忙購(gòu)物季的中期,關(guān)于Target數(shù)據(jù)泄露的言論又回潮了。很快細(xì)流變成洪流,日益清晰的是攻擊者已經(jīng)獲取了7000萬(wàn)消費(fèi)者的個(gè)人身份信息以及4000萬(wàn)信用卡和借記卡的數(shù)據(jù)信息。Target的CIO和董事長(zhǎng)、總裁兼首席執(zhí)行官紛紛引咎辭職。分析師稱,預(yù)計(jì)經(jīng)濟(jì)損失可能達(dá)到10億美元。
了解上述事件的大多數(shù)人都知道它始于竊取Target供應(yīng)商的信用憑證。但攻擊者是如何從Target網(wǎng)絡(luò)的邊界逐步滲透到核心業(yè)務(wù)系統(tǒng)?Be'ery認(rèn)為,攻擊者深思熟慮采取了11個(gè)步驟。
第一步:安裝竊取信用卡憑證的惡意軟件
攻擊者首先竊取了Target空調(diào)供應(yīng)商Fazio Mechanical Services的憑證。根據(jù)首先打破合規(guī)故事的Kreson Security,襲擊者首先通過(guò)電子郵件與惡意軟件開(kāi)展了感染供應(yīng)商的釣魚(yú)活動(dòng)。
第二步:利用竊取的憑證建立連接
攻擊者使用竊取的憑證訪問(wèn)Target致力于服務(wù)供應(yīng)商的主頁(yè)。在違規(guī)發(fā)生后的公開(kāi)聲明中,F(xiàn)azio Mechanical Services的主席和持有人Ross Fazio表示,該公司不對(duì)Target的加熱、冷卻和制冷系統(tǒng)執(zhí)行遠(yuǎn)程監(jiān)控。其與Target網(wǎng)絡(luò)連接的數(shù)據(jù)是專門用于電子賬單、提交合同和項(xiàng)目管理的。
這個(gè)Web應(yīng)用程序是非常有限的。雖然攻擊者現(xiàn)在可以使用托管在Target內(nèi)部網(wǎng)絡(luò)Web應(yīng)用程序進(jìn)入Target,應(yīng)用程序還是不允許任意命令執(zhí)行,而這將在攻擊過(guò)程中是十分緊迫的。
第三步:開(kāi)發(fā)Web程序漏洞
攻擊者需要找到一處可以利用的漏洞。Be'ery指出了一個(gè)公開(kāi)報(bào)告中列出的名為“xmlrpc.php”的攻擊工具。“根據(jù)Aorato的報(bào)告,當(dāng)所有其他已知的攻擊工具文件是Windows可執(zhí)行文件時(shí),這就是一個(gè)在Web應(yīng)用程序內(nèi)運(yùn)行腳本的PHP文件。
“這個(gè)文件表明,攻擊者能夠通過(guò)利Web應(yīng)用程序中的一個(gè)漏洞上傳PHP文件,”Aorato報(bào)告顯示,原因可能Web應(yīng)用程序有一個(gè)用以上傳發(fā)票等合法文件的上傳功能。但正如經(jīng)常發(fā)生在Web應(yīng)用程序中的事故,始終沒(méi)有恰當(dāng)?shù)陌踩珯z查以確保執(zhí)行可執(zhí)行文件沒(méi)有上傳。
惡意腳本可能是一個(gè)“Web殼”,一個(gè)基Web并允許攻擊者上傳文件和執(zhí)行任意操作系統(tǒng)命令的后門。“攻擊者知道他們會(huì)在最后竊取信用卡并利用銀行卡獲取資金的環(huán)節(jié)引起注意,”他解釋說(shuō)。他們?cè)诤谑猩铣鍪哿诵庞每ㄌ?hào)碼,不久之后Target就被通知數(shù)據(jù)泄露。
第四步:細(xì)心偵查
此時(shí),攻擊者不得不放慢腳步,來(lái)細(xì)心做一些偵察。他們有能力運(yùn)行任意操作系統(tǒng)命令,但進(jìn)一步的行動(dòng)還需要Target內(nèi)部網(wǎng)絡(luò)的情報(bào),所以他們需要找到存儲(chǔ)客戶信息和信用卡數(shù)據(jù)的服務(wù)器。
目標(biāo)是Target的活動(dòng)目錄,這包括數(shù)據(jù)域的所有成員:用戶、計(jì)算機(jī)和服務(wù)。他們能夠利用內(nèi)部Windows工具和LDAP協(xié)議查詢活動(dòng)目錄。Aorato相信,攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務(wù),然后通過(guò)查看服務(wù)器的名稱來(lái)推斷出每個(gè)服務(wù)器的目的。這也有可能是攻擊者稍后用以使用來(lái)找到PoS-related機(jī)器的過(guò)程。
利用攻擊目標(biāo)的名字,Aorato認(rèn)為,攻擊者將隨后獲得查詢DNS服務(wù)器的IP地址。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!