APT攻击背后的秘密:攻击前的"敌情"侦察

安全 黑客攻防
在上一篇文章中《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质及特征。本篇文章,我们将介绍APT攻击前的"敌情"侦察。"敌情"侦察是APT攻击的第一步,攻击者通过这个步骤确定其目标以及攻击方法。

在上一篇文章中《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质及特征。本篇文章,我们将介绍APT攻击前的"敌情"侦察。"敌情"侦察是APT攻击的第一步,攻击者通过这个步骤确定其目标以及攻击方法。在此,我们将详细了解攻击者的"敌情"侦察是怎样做的。

[[108878]]

个人资料:人是最薄弱的环节

很多时候,导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据,以及企业高管的全名以及公司发展史等。

其中有些信息可以通过公共记录和网络搜索找到,但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT),因为任何人都可以免费公开地获取这些信息。问题是,对于大多数来说,来自单一来源的可用OSINT数量通常非常少。

由于这种稀缺性,很多网络罪犯会链接信息,即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前,就是利用“dox”来收集关于个人或事物的信息,这些“dox”就是信息链。然而,不只是黑客和犯罪分子,安全专家也会采用这种做法,包括执法机构。

这些向公众提供的信息包括:业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。

通过这些信息,攻击者将了解其攻击目标以及原因;更重要的是,他们将知道如何攻击这些目标,而不需要进行额外的背景研究。

谈到没有受到保护的数据,让我们先看看元数据。

元数据:进入企业的隐藏的钥匙

在这里,元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置,而且还包含准确的时间戳,以及硬件信息。对于文档(从PDF到PPT)中的元数据,攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

了解元数据是很重要的,因为在侦察阶段,攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现,这些机构的文档并没有被偷窃,只是使用FOCA收集的文档信息。

在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据,发现了293个名称,其中大部分是网络ID。虽然只有23个电子邮件地址泄露,但其实攻击者可以轻松获取其他地址,因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。

在软件方面,美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称,但鉴于很多企业仍然在使用传统软件,这也是攻击者的宝贵数据。

同样重要的是IP地址,以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新,但大量这种信息可以作为攻击企业的起点。

FOCA可以帮助企业发现元数据,还有很多可用资源可帮助企业管理和删除元数据。

技术信息:入侵基础设施

虽然攻击者会使用OSINT来寻找潜在的线索,他们也会查看目标企业网站使用的应用程序和脚本。攻击者会探测目标企业的整个网络中的漏洞,应用程序和脚本并不是唯一的攻击面,它们只是最容易获取的线索。

如前所述,攻击者能够知道目标企业使用的软件类型,还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。

平台版本号码可以帮助员工找出存在的漏洞,当对于硬件,这些信息可以用来定位默认登录信息。而对于脚本和网站开发,攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。

技术侦查的另一种途径是供应链。很多企业经常会公开其业务合作伙伴,这给攻击者提供了另一个可利用的线索。试想一下:如果代理商的账户被攻破,这将对你的企业有何影响?

有时候最好的办法就是简单的列出信息,下面是攻击者在侦察活动中可能寻找的信息:

OSINT数据

▍可下载文件

·这为攻击者提供了直接的信息以及收集元数据的机会

▍员工照片和企业活动照片

·这为攻击者提供了直接的信息以及收集元数据的机会

▍人员名单以及领导层信息

·了解谁是谁,并建立企业内部的关系

▍项目和产品数据

·当搜索攻击面和背景信息时很有用

▍B2B关系

·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用

▍员工的详细信息

·这包括社交媒体的个人和公共数据

▍软件数据

·目标企业内使用的软件类型

构建完整的个人资料

完整个人资料包括:全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。

攻击者会试图收集所有这些信息,每次攻击活动需要的信息量都不同。然而,信息量越大,攻击者成功的几率就越大。

构建完整的技术资料

技术资料信息包括:网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。

有了这些信息,攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建,更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。

数据收集资源:

在侦察阶段,这些网站被用来收集个人资料信息,每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。

攻击者知道去哪里寻找数据。根据不同目标,攻击者会为信息或信息服务付款。然而,请注意,这并不是全面的资源清单,只是经常会提到的资源。

Google (www.google.com)

个人/企业搜索

这些网站提供了对个人用户、企业以及二者之间联系的公共信息。

Zoom Info (www.zoominfo.com)

PIPL (www.pipl.com)

Intelius (www.intelius.com)

Muckety (www.muckety.com)

其他搜索资源

Web Archive (www.archive.org)

GeoIP (www.geoiptool.com )

Robtex (www.robtex.com)

KnowEm (www.knowem.com)

ImageOps (http://imgops.com)

SHODAN (www.shodanhq.com)

整理收集的数据

在侦察阶段整理所有收集到的各种信息,推荐的工具是Maltego。Maltego是一个OSINT工具,黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览,能够帮助整理用户、组织、机构、网络信息之间的关联。

常见工具和软件

对于在侦察阶段攻击者使用的工具,通常很容易获得且易于操作,包括这些:

SQLMap (http://sqlmap.org)

BackTrack Linux (http://www.backtrack-linux.org)

Metasploit (http://metasploit.org)

总结

防止侦察几乎是不可能的。你可以缓解一些攻击,但互联网本身的性质意味着信息会以这种或那种形式存在,并且,最终将被攻击者发现。对于缓解措施,下面是需要考虑的事情。

监控日志记录和分析应用程序中异常下载流量高峰。

决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外,良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证,有效管理过时的账户和密码。

同样地,监控网络中的ICMP流量。此外,观察对网络子网的扫描。这很罕见,并且相当明显,但这确实会发生。对看似随意的端口进行检查。

对于OSINT,另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。

虽然这些数据并不是特别重要,但这些数据可以提供广泛的攻击面。如前所述,过滤元数据也是关键的缓解措施。然而,对这些数据的限制需要通过风险评估来确定,这需要所有业务领域的参与。

还要注意标语提取,这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后,下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。

责任编辑:蓝雨泪 来源: IT168
相关推荐

2014-02-25 09:38:22

2014-02-28 15:31:13

2014-02-27 09:30:20

2014-02-25 09:29:41

2014-02-19 09:15:10

2012-08-14 10:27:51

2011-09-19 15:40:35

2011-05-16 09:56:16

2012-11-30 15:37:10

2011-08-30 09:39:10

2013-04-25 11:04:42

2015-12-16 16:41:42

2013-07-27 15:04:48

2011-09-19 09:49:48

2013-07-27 20:19:14

2011-09-06 14:58:19

2014-04-16 13:26:21

2016-01-26 11:23:18

2013-11-06 18:48:18

2014-06-23 10:22:18

点赞
收藏

51CTO技术栈公众号