近期,活动目录(Active Directory)的监测和保护专家Aorato,针对Target数据泄露事件中,黑客如何利用空调供应商窃取了7000万客户的数据和4000万信用卡和借记卡这一过程,做了一份循序渐进的报告。
安全公司Aorato的一项新研究显示,个人可识别信息(PII)和信用卡及借记卡数据在今年年初的Target数据泄露实践中遭到大规模偷窃后,该公司的PCI合规新计划已经大幅降低了损害的范围。
利用所有可用的公开报告,Aorato的首席研究员Tal Aorato 'ery及其团队记录了攻击者用来攻击Target的所有工具,并创建了一个循序渐进的过程,来讲述攻击者是如何渗透到零售商、在其网络内传播、并最终从PoS系统抓取信用卡数据的。
关于事故的细节依旧模糊,但是Be'ery认为,有必要了解整个攻击过程,因为黑客们依然存在。
跟踪攻击就像网络古生物学
而Be'ery承认,安全公司Aorato对于一些细节的描述可能是不正确的,但是他确信关于Target网络系统重建的言论是正确的。
“我喜欢称之为网络古生物学”,Be'ery说。有许多报告声称,在这个事件中涌现了很多攻击工具,但是他们没有解释攻击者究竟是如何使用这些工具的。这就像有恐龙骨头,却不知道恐龙到底长什么样子,所幸的是我们知道其他恐龙的模样。利用我们的知识,我们可以重建这种恐龙模型。
2013年12月,正值一年当中最繁忙购物季的中期,关于Target数据泄露的言论又回潮了。很快细流变成洪流,日益清晰的是攻击者已经获取了7000万消费者的个人身份信息以及4000万信用卡和借记卡的数据信息。Target的CIO和董事长、总裁兼首席执行官纷纷引咎辞职。分析师称,预计经济损失可能达到10亿美元。
了解上述事件的大多数人都知道它始于窃取Target供应商的信用凭证。但攻击者是如何从Target网络的边界逐步渗透到核心业务系统?Be'ery认为,攻击者深思熟虑采取了11个步骤。
第一步:安装窃取信用卡凭证的恶意软件
攻击者首先窃取了Target空调供应商Fazio Mechanical Services的凭证。根据首先打破合规故事的Kreson Security,袭击者首先通过电子邮件与恶意软件开展了感染供应商的钓鱼活动。
第二步:利用窃取的凭证建立连接
攻击者使用窃取的凭证访问Target致力于服务供应商的主页。在违规发生后的公开声明中,Fazio Mechanical Services的主席和持有人Ross Fazio表示,该公司不对Target的加热、冷却和制冷系统执行远程监控。其与Target网络连接的数据是专门用于电子账单、提交合同和项目管理的。
这个Web应用程序是非常有限的。虽然攻击者现在可以使用托管在Target内部网络Web应用程序进入Target,应用程序还是不允许任意命令执行,而这将在攻击过程中是十分紧迫的。
第三步:开发Web程序漏洞
攻击者需要找到一处可以利用的漏洞。Be'ery指出了一个公开报告中列出的名为“xmlrpc.php”的攻击工具。“根据Aorato的报告,当所有其他已知的攻击工具文件是Windows可执行文件时,这就是一个在Web应用程序内运行脚本的PHP文件。
“这个文件表明,攻击者能够通过利Web应用程序中的一个漏洞上传PHP文件,”Aorato报告显示,原因可能Web应用程序有一个用以上传发票等合法文件的上传功能。但正如经常发生在Web应用程序中的事故,始终没有恰当的安全检查以确保执行可执行文件没有上传。
恶意脚本可能是一个“Web壳”,一个基Web并允许攻击者上传文件和执行任意操作系统命令的后门。“攻击者知道他们会在最后窃取信用卡并利用银行卡获取资金的环节引起注意,”他解释说。他们在黑市上出售了信用卡号码,不久之后Target就被通知数据泄露。
第四步:细心侦查
此时,攻击者不得不放慢脚步,来细心做一些侦察。他们有能力运行任意操作系统命令,但进一步的行动还需要Target内部网络的情报,所以他们需要找到存储客户信息和信用卡数据的服务器。
目标是Target的活动目录,这包括数据域的所有成员:用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信,攻击者只是检索所有包含字符串“MSSQLSvc”的服务,然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。
利用攻击目标的名字,Aorato认为,攻击者将随后获得查询DNS服务器的IP地址。