步骤7:使用新的管理员凭据传播到相关计算机
凭借其新的凭据,攻击者现在可以继续追随目标。但是,Aorato注意了两个障碍在他们的道路上:绕过防火墙和其他基于网络的安全解决方案,限制了对相关目标的直接访问,并在链中的各种机器上运行远程进程朝向他们的相关目标。
Aorato表示,攻击者使用“愤怒的IP扫描仪”来检测网络从当前计算机访问的网络,然后通过一系列服务器隧道隧道使用端口转发IT工具绕过安全措施。
对于远程执行目标服务器上的进程,Aorato表示攻击者与Microsoft PSExec实用程序一起使用凭据(用于在其他系统上执行进程的Telnet-替换)和Windows内部远程桌面(RDP)客户端。
AORATO指出,两种工具都使用Active Directory进行身份验证和授权用户,这意味着如果有人正在寻找它,则意味着Active Directory了解此活动。
一旦攻击者访问了目标系统,他们使用Microsoft Orchestrator管理解决方案来获得持久访问权限,这将允许它们远程在受妥协服务器上执行任意代码。
第8步:窃取7000万pii。找不到信用卡
此时,Aorato表示攻击者使用SQL查询工具来评估数据库服务器的值和SQL批量复制工具来检索数据库内容。Be'ery说,PCI合规性似乎对攻击者呈现了一个大障碍 - 最终可能使他们窃取“只有”4000万信用卡和借记卡而不是7000万,减少40%事件的反响。
第3.2节PCI-DSS标准状态:“授权后不要存储敏感的身份验证数据(即使加密)。如果接收到敏感的身份验证数据,则在完成授权过程时呈现所有无法恢复的数据。”
换句话说,虽然攻击者已经设法访问了7000万个目标客户的PII,但它没有访问信用卡。攻击者必须与一个新的计划重新组合。
“由于目标是符合PCI的,数据库没有存储任何信用卡特定数据,因此他们必须切换到计划B并直接从销售点自行窃取信用卡,”Be'ery说。
步骤9:安装恶意软件。窃取4000万信用卡
POS系统可能不是攻击者的初始目标,Be'ery说。只有当他们无法访问他们访问的服务器上的信用卡数据时,他们都会专注于POS机器作为应急情况。在第四步和步骤七期间获得的远程执行功能使用英特尔,攻击者在POS机器上安装了KAKOXA(发音为“KAR-TOE-SHA”)。恶意软件用于扫描受感染的机器的内存,并保存到本地文件中的任何信用卡。
这一步,Be'ery Notes,是唯一一个攻击者似乎使用自定义的恶意软件而不是常见IT工具。
“在这种情况下,有防病毒无法帮助你,”他说。“当赌注如此之高,有数千万美元的利润,他们不关心创造量身定制的工具的成本。”
步骤10:通过网络共享发送被盗数据
一旦恶意软件获得了信用卡数据,它使用Windows命令和域管理员凭据在远程设备上创建了远程文件共享。它会将其本地文件定期复制到远程共享。
再次,Be'ery Notes,这些活动将被授权针对活动目录,使其意识到这项活动。
步骤11:通过FTP发送被盗数据
最后,一旦数据到达了启用FTP的计算机上,脚本用于使用Windows内部FTP客户端将文件发送到攻击者的受控FTP计费。
“初始渗透点不是故事,因为最终你必须假设你会被违反,”Be'ery说。“你不能假设。你必须准备好并有事件响应计划,以便在违反时该怎么办。当恶意软件能够使攻击者更深入到网络时,出现了真正的问题。”
“如果您有正确的可见性,那么该活动真的脱颖而出,”他补充道。
如何保护您的组织
Be'ery建议组织采取以下步骤保护自己:
- 硬化访问控制。监视和配置文件访问模式,以识别异常和流氓访问模式。在可能的情况下,使用多因素身份验证来敏感系统,以减少与凭据盗窃相关的风险。隔离网络,限制允许的协议使用情况并限制用户过多的权限。
- 监视用户的列表,以添加新用户,尤其是特权。
- 监测侦察和信息收集的迹象。特别注意过度和异常的LDAP查询。
- 对于敏感的单意服务器,请考虑允许程序的白名单。
- 不要依赖反恶意软件解决方案作为主要缓解措施,因为攻击者主要利用合法的IT工具。
- 将安全性和监视控件放置在Active Directory周围,因为它涉及几乎所有攻击阶段。
- 参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组,以获得攻击者的策略,技术和程序(TTP)的宝贵智能。
这个故事,“11个步骤攻击者采取了破解目标”最初发表CIO. 。