黑客最早源自英文hacker，原指熱心于計算機技術，水平高超的電腦專家，尤其是程序設計人員。但如今，黑客一詞已被用于泛指那些專門利用電腦網絡搞破壞或惡作劇的家伙.

安全公司 Aorato 的一項新研究顯示，個人可識別信息（PII）和信用卡及借記卡數據在今年年初的 Target 數據泄露實踐中遭到大規模偷竊后，該公司的 PCI 合規新計劃已經大幅降低了損害的范圍。

利用所有可用的公開報告，Aorato 的首席研究員 Tal Aorato ‘ery 及其團隊記錄了攻擊者用來攻擊 Target 的所有工具，并創建了一個循序漸進的過程，來講述攻擊者是如何滲透到零售商、在其網絡內傳播、并最終從 PoS 系統抓取信用卡數據的。關于事故的細節依舊模糊，但是 Be’ery 認為，有必要了解整個攻擊過程，因為黑客們依然存在。

跟蹤攻擊就像網絡古生物學

而 Be’ery 承認，安全公司 Aorato 對于一些細節的描述可能是不正確的，但是他確信關于 Target 網絡系統重建的言論是正確的。

“我喜歡稱之為網絡古生物學”，Be’ery 說。有許多報告聲稱，在這個事件中涌現了很多攻擊工具，但是他們沒有解釋攻擊者究竟是如何使用這些工具的。這就像有恐龍骨頭，卻不知道恐龍到底長什么樣子，所幸的是我們知道其他恐龍的模樣。利用我們的知識，我們可以重建這種恐龍模型。

2013 年 12 月，正值一年當中最繁忙購物季的中期，關于 Target 數據泄露的言論又回潮了。很快細流變成洪流，日益清晰的是攻擊者已經獲取了 7000 萬消費者的個人身份信息以及 4000 萬信用卡和借記卡的數據信息。Target 的 CIO 和董事長、總裁兼首席執行官紛紛引咎辭職。分析師稱，預計經濟損失可能達到 10 億美元。

了解上述事件的大多數人都知道它始于竊取 Target 供應商的信用憑證。但攻擊者是如何從 Target 網絡的邊界逐步滲透到核心業務系統？Be’ery 認為，攻擊者深思熟慮采取了 11 個步驟。

第一步：安裝竊取信用卡憑證的惡意軟件

攻擊者首先竊取了 Target 空調供應商 Fazio Mechanical Services 的憑證。根據首先打破合規故事的 Kreson Security，襲擊者首先通過電子郵件與惡意軟件開展了感染供應商的釣魚活動。

第二步：利用竊取的憑證建立連接

攻擊者使用竊取的憑證訪問 Target 致力于服務供應商的主頁。在違規發生后的公開聲明中，Fazio Mechanical Services 的主席和持有人 Ross

Fazio 表示，該公司不對 Target 的加熱、冷卻和制冷系統執行遠程監控。其與 Target 網絡連接的數據是專門用于電子賬單、提交合同和項目管理的。

這個 Web 應用程序是非常有限的。雖然攻擊者現在可以使用托管在 Target 內部網絡 Web 應用程序進入 Target，應用程序還是不允許任意命令執行，而這將在攻擊過程中是十分緊迫的。

第三步：開發 Web 程序漏洞

攻擊者需要找到一處可以利用的漏洞。Be’ery 指出了一個公開報告中列出的名為“xmlrpc.php”的攻擊工具。“根據 Aorato 的報告，當所有其他已知的攻擊工具文件是 Windows 可執行文件時，這就是一個在 Web 應用程序內運行腳本的 PHP 文件。

“這個文件表明，攻擊者能夠通過利 Web 應用程序中的一個漏洞上傳 PHP 文件，”Aorato 報告顯示，原因可能 Web 應用程序有一個用以上傳發票等合法文件的上傳功能。但正如經常發生在 Web 應用程序中的事故，始終沒有恰當的安全檢查以確保執行可執行文件沒有上傳。

惡意腳本可能是一個“Web 殼”，一個基 Web 并允許攻擊者上傳文件和執行任意操作系統命令的后門。“攻擊者知道他們會在最后竊取信用卡并利用銀行卡獲取資金的環節引起注意，”他解釋說。他們在黑市上出售了信用卡號碼，不久之后 Target 就被通知數據泄露。

第四步：細心偵查

此時，攻擊者不得不放慢腳步，來細心做一些偵察。他們有能力運行任意操作系統命令，但進一步的行動還需要 Target 內部網絡的情報，所以他們需要找到存儲客戶信息和信用卡數據的服務器。

目標是 Target 的活動目錄，這包括數據域的所有成員：用戶、計算機和服務。他們能夠利用內部 Windows 工具和 LDAP 協議查詢活動目錄。Aorato 相信，攻擊者只是檢索所有包含字符串“MSSQLSvc”的服務，然后通過查看服務器的名稱來推斷出每個服務器的目的。這也有可能是攻擊者稍后用以使用來找到 PoS-related 機器的過程。利用攻擊目標的名字，Aorato 認為，攻擊者將隨后獲得查詢 DNS 服務器的 IP 地址。

第五步：竊取域管理員訪問令牌

至此，Be’ery 認為，攻擊者已經確定他們的目標，但他們需要訪問權限尤其是域管理員權限來幫助他們。

基于前 Target 安全團隊成員提供給記者 Brian Krebs 的信息，Aorato 認為，攻擊者使用一個名為“Pass-the-Hash”的攻擊技術來獲得一個 NT 令牌，讓他們模仿活動目錄管理員——至少直到實際的管理員去改變其密碼。

隨著這種技術的深入證實，Aorato 指向了工具的使用，包括用于從內存中登錄會話和 NTLM 憑證的滲透測試工具、提取域賬戶 NT / LM 歷史的散列密碼。

第六步：新的域管理員帳戶

上一步允許攻擊者偽裝成域管理員，然而一旦受害者改變了密碼，或者當試圖訪問一些需要顯示使用密碼的服務(如遠程桌面)時，他就成為無效的。那么，下一步是創建一個新的域管理員帳戶。

攻擊者能夠使用他們竊取的特權來創建一個新帳戶，并將它添加到域管理組，將帳戶特權提供給攻擊者，同時也給攻擊者控制密碼的機會。

Be’ery 說，這是攻擊者隱藏在普通場景中的另一個例子。新用戶名是與 BMC Bladelogic 服務器用戶名相同的“best1_user”。

“這是一個高度異常的模式”，Be’ery 說，時刻留意監視用戶列表的簡單步驟和新增等敏感管理員賬戶都可以對攻擊者進行有效阻止(+微信關注網絡世界)，所以必須監控訪問模式。

第七步：使用新的管理憑證傳播到有關計算機

用新的訪問憑證，攻擊者現在可以繼續追求其攻擊目標。但是 Aorato 指出了其路徑中的兩個障礙：繞過防火墻和限制直接訪問相關目標的其他網絡安全解決方案，并針對其攻擊目標在各種機器上運行遠程程序。

Aorato 說，攻擊者用“憤怒的 IP 掃描器”檢測連網電腦，穿過一系列的服務器來繞過安全工具。

至于在目標服務器上遠程執行程序，攻擊者使用其憑證連接微軟 PSExec 應用程序(在其他系統上執行進程的 telnet-replacement)和 Windows 內部遠程桌面客戶端。

Aorato 指出，這兩個工具都使用 Active Directory 用戶進行身份驗證和授權，這意味著一旦有人在搜尋，Active Directory 將第一時間知曉。

一旦攻擊者訪問目標系統，他們會使用微軟的協調器管理解決方案來獲得持續的訪問，這將允許他們在受攻擊的服務器上遠程執行任意代碼。

第八步：竊取PII 7000 萬

Aorato 說，在這一步，襲擊者使用 SQL 查詢工具來評估價數據庫服務器和檢索數據庫內容的 SQL 批量復制工具的價值。這個過程，其實就是 PCI 合規所提出的黑客造成的嚴重數據泄露事故——4000 萬信用卡。

當攻擊者已經成功訪問 7000 萬的 Target 目標客戶時，它并沒有獲得進入信用卡。攻擊者將不得不重組一個新的計劃。

既然 Target 符合 PCI 合規，數據庫不存儲任何信用卡的具體數據，因此他們不得不轉向B計劃來直接從銷售的角度竊取信用卡。

第九步：安裝惡意軟件竊取 4000 萬信用卡

PoS 系統很可能不是一個攻擊者的初始目標。只有當他們無法訪問服務器上的信用卡數據時，才會專注于將 PoS 機作為應急。在第四步中使用網絡和第七步的遠程執行功能，襲擊者在 PoS 機上安裝了 Kaptoxa。惡意軟件被用來掃描被感染機器的內存并保存本地文件上發現的所有信用卡數據。

唯獨在這一步中，襲擊者會使用專門的惡意軟件而不是常見的工具。

“擁有防病毒工具也不會在這種情況下起到作用”他說，“當賭注太高、利潤數千萬美元時，他們根本不介意創造特制工具的成本。”

第十步：通過網絡共享傳遞竊取數據

一旦惡意軟件獲取了信用卡數據，它就會使用 Windows 命令和域管理憑證在遠程的 FTP 機器上創建一個遠程文件共享，并會定期將本地文件復制到遠程共享。Be’ery 在此強調，這些活動會針對 Activity

Directory 獲得授權。

第十一步：通過 FTP 傳送竊取數據

最后，一旦數據到達 FTP 設備，可以使用 Windows 內部的 FTP 客戶端將一個腳本將文件發送到已被攻擊者控制的 FTP 賬號。

初始滲透點并不是故事的終結，因為最終你必須假設你最終將被攻擊。你必須做好準備，并當你被攻擊時必須有事件響應計劃。當惡意軟件可以使攻擊者能夠更深入地探索網絡時，真正的問題才會出現。如果你有正確的判斷力，問題將會真的顯示出來。

如何保護你的企業或組織

加強訪問控制。監控文件訪問模式系統以識別異常和流氓訪問模式。在可能的情況下，使用多因素身份驗證進入相關敏感系統，以減少與信用卡憑證相關的風險。隔離網絡，并限制協議使用和用戶的過度特權。

監控用戶的列表，時刻關注新添加用戶，尤其是有特權的用戶。

監控偵察和信息收集的跡象，特別注意過度查詢和不正常的 LDAP 查詢。

考慮允許項目的白名單。

不要依賴反惡意軟件解決方案作為主要緩解措施，因為攻擊者主要利用合法的工具。

在 Active Directory 上安裝安全與監測控制設備，因為其參與幾乎所有階段的攻擊。

參與信息共享和分析中心(ISAC)和網絡情報共享中心(CISC)組織，以獲得情報襲擊者寶貴的戰術、技術和程序(TTPs)。