在上一篇文章中《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质及特征。本篇文章,我们将介绍APT攻击前的"敌情"侦察。"敌情"侦察是APT攻击的第一步,攻击者通过这个步骤确定其目标以及攻击方法。在此,我们将详细了解攻击者的"敌情"侦察是怎样做的。
个人资料:人是最薄弱的环节
很多时候,导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据,以及企业高管的全名以及公司发展史等。
其中有些信息可以通过公共记录和网络搜索找到,但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT),因为任何人都可以免费公开地获取这些信息。问题是,对于大多数来说,来自单一来源的可用OSINT数量通常非常少。
由于这种稀缺性,很多网络罪犯会链接信息,即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前,就是利用“dox”来收集关于个人或事物的信息,这些“dox”就是信息链。然而,不只是黑客和犯罪分子,安全专家也会采用这种做法,包括执法机构。
这些向公众提供的信息包括:业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。
通过这些信息,攻击者将了解其攻击目标以及原因;更重要的是,他们将知道如何攻击这些目标,而不需要进行额外的背景研究。
谈到没有受到保护的数据,让我们先看看元数据。
元数据:进入企业的隐藏的钥匙
在这里,元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置,而且还包含准确的时间戳,以及硬件信息。对于文档(从PDF到PPT)中的元数据,攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。
了解元数据是很重要的,因为在侦察阶段,攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现,这些机构的文档并没有被偷窃,只是使用FOCA收集的文档信息。
在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据,发现了293个名称,其中大部分是网络ID。虽然只有23个电子邮件地址泄露,但其实攻击者可以轻松获取其他地址,因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。
在软件方面,美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称,但鉴于很多企业仍然在使用传统软件,这也是攻击者的宝贵数据。
同样重要的是IP地址,以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新,但大量这种信息可以作为攻击企业的起点。
FOCA可以帮助企业发现元数据,还有很多可用资源可帮助企业管理和删除元数据。
技术信息:入侵基础设施
虽然攻击者会使用OSINT来寻找潜在的线索,他们也会查看目标企业网站使用的应用程序和脚本。攻击者会探测目标企业的整个网络中的漏洞,应用程序和脚本并不是唯一的攻击面,它们只是最容易获取的线索。
如前所述,攻击者能够知道目标企业使用的软件类型,还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。
平台版本号码可以帮助员工找出存在的漏洞,当对于硬件,这些信息可以用来定位默认登录信息。而对于脚本和网站开发,攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。
技术侦查的另一种途径是供应链。很多企业经常会公开其业务合作伙伴,这给攻击者提供了另一个可利用的线索。试想一下:如果代理商的账户被攻破,这将对你的企业有何影响?
有时候最好的办法就是简单的列出信息,下面是攻击者在侦察活动中可能寻找的信息:
OSINT数据
▍可下载文件
·这为攻击者提供了直接的信息以及收集元数据的机会
▍员工照片和企业活动照片
·这为攻击者提供了直接的信息以及收集元数据的机会
▍人员名单以及领导层信息
·了解谁是谁,并建立企业内部的关系
▍项目和产品数据
·当搜索攻击面和背景信息时很有用
▍B2B关系
·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用
▍员工的详细信息
·这包括社交媒体的个人和公共数据
▍软件数据
·目标企业内使用的软件类型
构建完整的个人资料
完整个人资料包括:全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。
攻击者会试图收集所有这些信息,每次攻击活动需要的信息量都不同。然而,信息量越大,攻击者成功的几率就越大。
构建完整的技术资料
技术资料信息包括:网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。
有了这些信息,攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建,更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。
数据收集资源:
在侦察阶段,这些网站被用来收集个人资料信息,每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。
攻击者知道去哪里寻找数据。根据不同目标,攻击者会为信息或信息服务付款。然而,请注意,这并不是全面的资源清单,只是经常会提到的资源。
Google (www.google.com)
个人/企业搜索
这些网站提供了对个人用户、企业以及二者之间联系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜索资源
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
整理收集的数据
在侦察阶段整理所有收集到的各种信息,推荐的工具是Maltego。Maltego是一个OSINT工具,黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览,能够帮助整理用户、组织、机构、网络信息之间的关联。
常见工具和软件
对于在侦察阶段攻击者使用的工具,通常很容易获得且易于操作,包括这些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
总结
防止侦察几乎是不可能的。你可以缓解一些攻击,但互联网本身的性质意味着信息会以这种或那种形式存在,并且,最终将被攻击者发现。对于缓解措施,下面是需要考虑的事情。
监控日志记录和分析应用程序中异常下载流量高峰。
决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外,良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证,有效管理过时的账户和密码。
同样地,监控网络中的ICMP流量。此外,观察对网络子网的扫描。这很罕见,并且相当明显,但这确实会发生。对看似随意的端口进行检查。
对于OSINT,另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。
虽然这些数据并不是特别重要,但这些数据可以提供广泛的攻击面。如前所述,过滤元数据也是关键的缓解措施。然而,对这些数据的限制需要通过风险评估来确定,这需要所有业务领域的参与。
还要注意标语提取,这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后,下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。