APT攻擊背后的秘密:攻擊前的"敵情"偵察
在上一篇文章中《APT攻擊背后的秘密:攻擊性質及特征分析》,我們介紹了APT攻擊的性質及特征。本篇文章,我們將介紹APT攻擊前的"敵情"偵察。"敵情"偵察是APT攻擊的第一步,攻擊者通過這個步驟確定其目標以及攻擊方法。在此,我們將詳細了解攻擊者的"敵情"偵察是怎樣做的。
個人資料:人是最薄弱的環節
很多時候,導致企業受到攻擊的信息通常是沒有得到足夠重視和保護的信息。這可能是電話號碼、電子郵件目錄表、文檔中的元數據,以及企業高管的全名以及公司發展史等。
其中有些信息可以通過公共記錄和網絡搜索找到,但有時事實并非如此。公開的個人或企業的信息被稱為開源情報(OSINT),因為任何人都可以免費公開地獲取這些信息。問題是,對于大多數來說,來自單一來源的可用OSINT數量通常非常少。
由于這種稀缺性,很多網絡罪犯會鏈接信息,即整合很多小數據直到獲得完整信息。黑客組織Anonymous在發動攻擊前,就是利用“dox”來收集關于個人或事物的信息,這些“dox”就是信息鏈。然而,不只是黑客和犯罪分子,安全專家也會采用這種做法,包括執法機構。
這些向公眾提供的信息包括:業務報告、新聞報道、企業網站、社交媒體賬戶(個人和專業)以及來自商業伙伴的相關信息。
通過這些信息,攻擊者將了解其攻擊目標以及原因;更重要的是,他們將知道如何攻擊這些目標,而不需要進行額外的背景研究。
談到沒有受到保護的數據,讓我們先看看元數據。
元數據:進入企業的隱藏的鑰匙
在這里,元數據是指嵌入在文檔和圖像中的信息。我們并不是在談論美國國家安全局收集的元數據。大多數人都不知道他們上傳到網上的圖片不僅包含圖像拍攝位置,而且還包含準確的時間戳,以及硬件信息。對于文檔(從PDF到PPT)中的元數據,攻擊者可以獲取軟件產品名稱和版本、文檔作者的名字、網絡位置、IP地址等。
了解元數據是很重要的,因為在偵察階段,攻擊者收集的第一個信息是可公開獲取的文檔。以下是利用元數據的很好的例子。在2011年,有人代表Anonymous上傳了1.2GB torrent文件,讓很多人相信美國商會、美國立法交流委員會(ALEC)、公共政策麥基諾中心遭受了數據泄露。事后發現,這些機構的文檔并沒有被偷竊,只是使用FOCA收集的文檔信息。
在屬于美國商會的文檔集中,有194個Word文檔(.doc和.docx)、724個PDF文檔、59個PPT文檔(.ppt和.pptx)以及12個Excel文檔(.xls 和 .xlsx)。 通過檢查其中的元數據,發現了293個名稱,其中大部分是網絡ID。雖然只有23個電子郵件地址泄露,但其實攻擊者可以輕松獲取其他地址,因為很多美國商會人員的信息可以通過OSINT發現。這些元數據還包括文件夾路徑以及本地系統路徑和web服務器路徑。還有共享網絡打印器的位置和名稱。
在軟件方面,美國商會的數據中列出了超過100個軟件名稱。雖然很多軟件產品是在創建文檔時記錄的名稱,但鑒于很多企業仍然在使用傳統軟件,這也是攻擊者的寶貴數據。
同樣重要的是IP地址,以及確定企業在運行Windows XP、Windows Server 2000和Windows Server 2003。雖然有些數據沒有更新,但大量這種信息可以作為攻擊企業的起點。
FOCA可以幫助企業發現元數據,還有很多可用資源可幫助企業管理和刪除元數據。
技術信息:入侵基礎設施
雖然攻擊者會使用OSINT來尋找潛在的線索,他們也會查看目標企業網站使用的應用程序和腳本。攻擊者會探測目標企業的整個網絡中的漏洞,應用程序和腳本并不是唯一的攻擊面,它們只是最容易獲取的線索。
如前所述,攻擊者能夠知道目標企業使用的軟件類型,還有IP地址、web服務器規格(例如平臺版本)、虛擬主機信息以及硬件類型。
平臺版本號碼可以幫助員工找出存在的漏洞,當對于硬件,這些信息可以用來定位默認登錄信息。而對于腳本和網站開發,攻擊者可以被動掃描裸機漏洞、跨站腳本、SQL注入和其他漏洞。
技術偵查的另一種途徑是供應鏈。很多企業經常會公開其業務合作伙伴,這給攻擊者提供了另一個可利用的線索。試想一下:如果代理商的賬戶被攻破,這將對你的企業有何影響?
有時候最好的辦法就是簡單的列出信息,下面是攻擊者在偵察活動中可能尋找的信息:
OSINT數據
▍可下載文件
·這為攻擊者提供了直接的信息以及收集元數據的機會
▍員工照片和企業活動照片
·這為攻擊者提供了直接的信息以及收集元數據的機會
▍人員名單以及領導層信息
·了解誰是誰,并建立企業內部的關系
▍項目和產品數據
·當搜索攻擊面和背景信息時很有用
▍B2B關系
·這種數據被用來建立供應鏈關系和銷售渠道以便之后漏洞利用
▍員工的詳細信息
·這包括社交媒體的個人和公共數據
▍軟件數據
·目標企業內使用的軟件類型
構建完整的個人資料
完整個人資料包括:全名、地址(過去和現在)、電話號碼(個人和工作)、出生日期、社會安全號碼、 ISP的數據(IP地址、提供商)、用戶名、密碼、公共記錄數據(稅收、信貸歷史、法律記錄)、愛好、最喜歡的餐館、電影、書籍等等。
攻擊者會試圖收集所有這些信息,每次攻擊活動需要的信息量都不同。然而,信息量越大,攻擊者成功的幾率就越大。
構建完整的技術資料
技術資料信息包括:網絡地圖、從元數據獲取的技術詳細信息、IP地址、可用硬件和軟件信息、操作系統詳細信息、平臺開發數據和驗證措施。
有了這些信息,攻擊者可以利用個人資料數據并瞄準服務臺。知道ID是如何創建的可以幫助攻擊者了解電子郵件地址是如何創建,更方便地進行釣魚攻擊、猜測地址或初步溝通。攻擊者還可以搜尋操作系統、第三方軟件和平臺數據的漏洞或默認訪問。
數據收集資源:
在偵察階段,這些網站被用來收集個人資料信息,每個新信息都會給攻擊者帶來更多可利用信息。社交媒體信息會提供名字和圖片。
攻擊者知道去哪里尋找數據。根據不同目標,攻擊者會為信息或信息服務付款。然而,請注意,這并不是全面的資源清單,只是經常會提到的資源。
Google (www.google.com)
個人/企業搜索
這些網站提供了對個人用戶、企業以及二者之間聯系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索資源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的數據
在偵察階段整理所有收集到的各種信息,推薦的工具是Maltego。Maltego是一個OSINT工具,黑客、執法機構和安全專家使用它來管理信息鏈。它提供對數據的可視化概覽,能夠幫助整理用戶、組織、機構、網絡信息之間的關聯。
常見工具和軟件
對于在偵察階段攻擊者使用的工具,通常很容易獲得且易于操作,包括這些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
總結
防止偵察幾乎是不可能的。你可以緩解一些攻擊,但互聯網本身的性質意味著信息會以這種或那種形式存在,并且,最終將被攻擊者發現。對于緩解措施,下面是需要考慮的事情。
監控日志記錄和分析應用程序中異常下載流量高峰。
決不允許內部端口(內網)、文檔或存儲中心從網絡外部訪問。通過受限制IP或企業VPN以及ACL政策管理對這些資源的訪問。此外,良好的IAM(身份和訪問管理)也可以作為不錯的防御。啟用多因素身份驗證,有效管理過時的賬戶和密碼。
同樣地,監控網絡中的ICMP流量。此外,觀察對網絡子網的掃描。這很罕見,并且相當明顯,但這確實會發生。對看似隨意的端口進行檢查。
對于OSINT,另一個防御技術是限制公開顯示的信息量;包括電話簿、員工名單、過于具體的人員和領導介紹、項目計劃、業務和渠道合作伙伴以及客戶名單。
雖然這些數據并不是特別重要,但這些數據可以提供廣泛的攻擊面。如前所述,過濾元數據也是關鍵的緩解措施。然而,對這些數據的限制需要通過風險評估來確定,這需要所有業務領域的參與。
還要注意標語提取,這是攻擊者了解企業技術緩解常用的易于使用的技術。在攻擊者進行偵查后,下一個步驟將是武器化和交付。本系列的第二部分將研究這個方面以及解決辦法。
