尽管去年零售业巨头的数据泄露导致了个人身份信息(PII)以及信用卡和借记卡数据的大规模失窃目标,该公司的PCI合规程序可能显著减少损害的范围内,根据安全公司新的研究Aorato,它专门从事活动目录监视和保护。
Aorato的首席研究员Tal Be'ery和他的团队利用所有公开的关于漏洞的报告,对攻击者用来攻击目标的所有工具进行了分类,试图逐步分解攻击者是如何渗透零售商、在其网络中传播并最终从某个点获取信用卡数据的未直接连接到互联网的销售(PoS)系统。
许多的漏洞如何发生仍模糊的细节,但Be'ery说,这是必要的了解攻击是如何发生的,因为肇事者仍然有效。就在上周,美国国土安全部(DHS)和美国特勤局2020欧洲杯夺冠热门发布咨询过去一年中,用于攻击目标公司PoS系统的恶意软件已经危害了许多其他PoS系统。
追踪攻击就像网络古生物学
虽然Be'ery承认,一些在Aorato的账户细节可能是不正确的,他感觉信心,重建在很大程度上是正确的。
“我喜欢把它作为网络古生物,” Be'ery说。“有在这一事件中找到的工具很多报道,但他们并没有说明攻击者是如何使用这些工具。这就像骨头,但不知道看什么恐龙等。但是我们知道还有什么其他的恐龙看起来像随着我们的知识,我们能够重建这个恐龙。”
在2013年12月,在一年中最繁忙的购物旺季之中,字开始往外滴约在Target数据泄露。
不久,涓流是一个种子,它最终将成为明显的攻击者已经40万张信用卡和借记卡得到了70万个用户,以及数据的个人身份信息(PII)。CIO贝丝雅各布和董事会主席,总裁兼首席执行官格雷格Steinhafel辞职。目标公司的经济损失可能达到$ 1十亿,据分析。
大多数跟踪目标故事的人都知道,这是从盗窃目标公司暖通空调承包商的证件开始的。但是,攻击者是如何从目标网络边界的初始渗透点到达其操作的核心的呢?贝瑞认为袭击者采取了11个故意的步骤。
步骤1:安装窃取凭据的恶意软件
一开始是盗取目标公司暖通空调供应商法齐奥机械服务公司的资质。根据克雷森安全,这首先打破了突破的故事,攻击者感染了通用恶意软件称为城堡通过电子邮件钓鱼活动的供应商。
步骤2:使用被盗凭据连接
Be'ery说,攻击者使用被盗的凭据来访问专门针对供应商的目标托管web服务。在一个违约后发表的公开声明法齐奥机械服务公司(Fazio Mechanical Services)总裁兼老板罗斯·法齐奥(Ross Fazio)表示,该公司“不为目标公司对供暖、制冷或制冷系统进行远程监控或控制。我们与目标公司的数据连接仅用于电子账单、合同提交和项目管理。”
这个Web应用程序是非常有限的,Be'ery说。虽然现在袭击者曾获得托管目标的内部网络上的目标内部的Web应用程序,该应用程序并没有允许执行任意命令,这是必要的妥协机器。
第3步:利用漏洞的Web应用程序漏洞
攻击者需要找到他们可以利用的漏洞。Be'ery指向列表中公共报告中列出的攻击工具之一,文件名为“xmlrpc.php文件”根据Aorato的报告,虽然所有其他已知的攻击工具文件都是Windows可执行文件,但这是一个PHP文件,用于在web应用程序中运行脚本。
“这个文件表明,攻击者能够通过利用Web应用程序中的漏洞上传PHP文件,”该Aorato报告的结论。“原因是,它很可能在web应用意味着上传合法文件(比如发票)上载功能,但经常在Web应用程序进行,没有安全检查是为了确保可执行文件不会被上传进行。“
恶意脚本可能是一个“web shell”,一个基于web的后门,允许攻击者上载文件并执行任意操作系统命令。
Be'ery注意到攻击者可能调用了该文件“xmlrpc.php文件“为了使其看起来像一个流行的PHP组件,换句话说,攻击者将恶意组件伪装成合法组件,以便将其隐藏在显而易见的地方。Be'ery说,这种“躲在明处”的战术是这些特殊袭击者的标志,并指出在整个袭击过程中多次重复。
“他们知道他们会因为他们窃取的信用卡,并顺便赚钱的信用卡是用它们来获得关注,最终,”他解释说。“正如我们看到的,他们卖的信用卡号码在黑市上,不一会儿之后目标被通知违反了信用卡公司的。攻击者知道,这项运动将是短暂的,一次性的。他们间没有“T将投资于基础设施,成为无形的,因为在这几天竞选活动就会消失,这是足以让他们隐藏在众目睽睽下。”
步骤4:搜索相关目标进行传播
贝瑞说,在这一点上,袭击者不得不放慢速度,进行一些侦察。他们有能力运行任意的操作系统命令,但进一步的操作需要了解目标公司内部网络的布局——他们需要找到保存客户信息和(他们希望的)信用卡数据的服务器。
该载体是目标的Active Directory,其中包含在域的所有成员中的数据:用户,计算机和服务。他们能够查询Active Directory使用标准的LDAP协议内部的Windows工具。Aorato认为袭击者只是检索包含字符串“为MSSQLSvc”所有服务,然后通过查看服务器(例如,MSSQLvc / billingServer)的名称推断出每个服务的宗旨。这可能也是流程攻击后会用来寻找POS-相关设备,根据Aorato。
Aorato说,攻击者通过查询DNS服务器获得了他们的IP地址。
步骤5:从域管理员那里窃取访问令牌
到目前为止,Be'ery说攻击者已经确定了他们的目标,但是他们需要访问权限来影响他们-最好是域管理权限。
根据目标公司安全小组一名前成员向记者布赖恩·克雷布斯提供的信息,以及维萨在报告中对该漏洞提出的建议,奥拉托认为,攻击者使用了一种众所周知的攻击技术“传递散列”来获得对NT散列令牌的访问,该令牌允许他们模拟活动目录管理员-至少在实际管理员更改其密码之前。
作为使用这项技术的进一步证据,Aorato指出使用工具,包括渗透测试工具,其目的是从内存中登录会话和NT LM凭据,提取域帐户NT/LM散列和历史记录,并从内存中转储密码散列。
步骤6:使用被盗的令牌创建新的域管理帐户
前面的步骤将允许攻击者伪装成一个域管理员,但如果受害人改变了他们的密码,或试图访问某个服务(如远程桌面),需要明确使用密码时会变得无效。下一步,那么,是创建一个新的域管理员帐户。
攻击者能够使用窃取的权限创建一个新帐户并将其添加到域管理员组,从而使该帐户具有攻击者所需的权限,同时也使攻击者能够控制密码。
这Be'ery说,是攻击者隐藏在众目睽睽下的另一个例子。新的用户名是“best1_user”一样通过BMC的BladeLogic的服务器自动化产品中使用的用户名。
“这是一个非常不正常的模式,” Be'ery说,并指出,监测用户列表,并标记为敏感帐户像管理员帐户新增加的简单的步骤,可能还有很长的路要走在其轨道阻止攻击者。“你必须监控的访问模式。”
他还指出,在步骤4中采取的侦察行动是活动监测能够检测到的另一个异常使用的例子。
“监视侦察是非常重要的,”Be'ery说每个网络看起来都不一样,有不同的结构。攻击者必须通过查询了解该结构。这种行为与用户的正常模式大不相同。”