USD 63.85 ЕВРО 70.6

11 шагов, предпринятых хакерами для взлома Target

Аналитика

Специалисты по мониторингу и защите Active Directory из Aorato составили доклад, в котором пошагово демонстрируется — как злоумышленники используют украденные учетные данные вендора, чтобы украсть данные 70 млн. клиентов и 40 млн. кредитных и дебетовых карт у розничного продавца.

Несмотря на массовые масштабы кражи персональной информации, кредитных и дебетовых карт данных, произошедших в результате прошлогодней утечки данных розничного титана Target, программа соответствия компаний стандарту PCI может значительно сократить объем ущерба, в соответствии с новыми исследованиями фирмы Aorato, которая специализируется на мониторинге и защите Active Directory.

Используя публично доступные отчеты по взломам, ведущий исследователь Aorato Тал Бири и его команда каталогизировали все инструменты нападавших, используемые при взломе Target. Они стремились создать пошаговую разбивку — как нападавшие проникли в магазин, перемещались в пределах их сети, и в конечном счете захватили данные кредитных карт с POS-системы, которая напрямую не подключена к Интернету.

Многие детали того, как произошел взлом, остаются закрытыми, но Бири говорит, что важно понять, как произошло нападение потому, что преступники по-прежнему активны. Только на прошлой неделе, Министерство внутренней безопасности (DHS) и Секретная служба Соединенных Штатов выпустили рекомендации, что вредоносная программа, использовавшаяся для атаки на POS-системы Target, скомпрометировала многочисленные другие POS-системы в течение прошлого года.

Отслеживание атаки похоже на кибер-палеонтологию

Несмотря на то, что Бири признает тот факт, что некоторые детали, описанные Aorato, могут быть неправильными, он уверен, что в целом, реконструкция верна.

«Мне нравится думать об этом как о киберпалеонтологии», говорит Бири. «Существует множество докладов об инструментах, которые были обнаружены в этом инциденте, но они не описывают как атакующие использовали эти инструменты. Это как найти кости, но не знать — как выглядел динозавр». Но мы знаем, как выглядели другие динозавры. С помощью наших знаний, мы можем восстановить внешний вид динозавра».

В декабре 2013 года, в разгар самой оживленной торговли, мир узнал о взломе данных в Target.

Вскоре ручеек стал потоком, и в конечном итоге стало ясно, что нападавшие получили персональную информацию 70 миллионов клиентов, а также данные 40 млн. кредитных и дебетовых карт. ИТ-директор Бет Иаков и председатель правления, президент и главный исполнительный директор Грег Стайнхафл подали в отставку. Финансовые убытки Target могли составить $1 млрд, по мнению аналитиков.

Большинство из тех, кто читал об истории Target знают, что она началась с кражи учетных данных подрядчика Target по климатическому оборудованию. Но как нападавшие попали из этой начальной точки проникновения, на границу сети Target, в самом сердце ее операций? Бири считает, что нападавшие предприняли 11 целенаправленных шагов.

Шаг 1: Установка зловредного ПО, крадущего учетные данные

Все началось с кражи учетных данных поставщика климатического оборудования — Fazio Mechanical Services. Согласно информации KresonSecurity, которая первой раскрыла историю взлома, нападавшие заразили вендора вредоносной программой общего назначения, известной как Citadel, посредством кампании электронного фишинга.

Шаг 2: Подключение с использованием украденных учетных данных

Бири говорит, что нападавшие использовали украденные учетные данные для доступа к веб-сервисам Target, предназначенных для поставщиков. В публичном заявлении, опубликованном после взлома, президент и владелец Fazio Mechanical Services — Росс Фацио, заявил, что компания «не осуществляла дистанционный мониторинг или контроль отопления, охлаждения или холодильных систем Target. Наша связь данных с Target была исключительно для получения электронных счетов, контрактов и управления проектами».

Это веб-приложение было очень ограничено, говорит Бири. Несмотря на то, что нападавшие имели доступ к внутреннему веб-приложению Target, размещенному во внутренней сети Target, приложение не позволяло произвольного выполнения команд, которые были необходимы, чтобы скомпрометировать машину.

Шаг 3: Эксплуатация уязвимости веб-приложения

Нападавшие должны были найти уязвимость, которую они могли использовать. Бири указывает на один из инструментов нападения, перечисленный в публичных докладах —  файл с именем «xmlrpc.php». Согласно отчету Aorato, в то время все остальные известные файлы инструментов нападения являются исполняемыми файлами Windows, это файл PHP, который используется для запуска скриптов в веб-приложениях.

«Этот файл позволяет предположить, что злоумышленники смогли загрузить файл PHP за счет использования уязвимости в веб-приложении», заключает отчет Aorato. «Причина в том, что, скорее всего, веб-приложение имеет функциональность загрузки, чтобы загрузить легитимные документы (скажем, счета-фактуры). Но как это часто бывает в веб-приложениях, проверки на безопасность, чтобы не загружались исполняемые файлы, не были выполнены».

Вредоносный скрипт был, вероятно, «веб-оболочкой», веб-бэкдором, что позволило злоумышленникам загружать файлы и выполнять произвольные команды операционной системы.

Бири отмечает, что нападавшие, скорее всего назвали файл «xmlrpc.php», чтобы сделать его похожим на популярный компонент PHP — другими словами нападавшие замаскировали вредоносный компонент под легитимный, чтобы спрятать его на видном месте. Эта тактика «прятать на виду» является отличительной чертой этих конкретных нападавших, говорит Бири, отметив, что она была повторена несколько раз в течение атаки.

«Они знают, что их в конце-концов заметят, потому что они крадут кредитные карты, и монетизируют их», объясняет он. «Как мы наблюдали, они продали номера кредитных карт на черном рынке и довольно скоро после этого Target была уведомлена о взломе компаниями, выпускающими кредитные карты. Нападавшие знали, что эта кампания будет недолгой, одноразовой. Они не собирались инвестировать в инфраструктуру и быть невидимым, потому что через несколько дней эта кампания исчезнет. Для них было достаточно прятаться на видном месте».

Шаг 4: Поиск соответствующих целей для распространения

В этот момент, говорит Бири, нападавшие притормозили, чтобы сделать некоторую разведку. Они имели возможность выполнения произвольных команд ОС, но чтобы двигаться дальше, потребуется информация о структуре внутренней сети Target — она необходима, чтобы найти серверы, которые содержат информацию о клиентах и, как они надеялись, данные кредитных карт.

Вектором была Active Directory Target, которая содержит данные о всех членах домена: пользователях, компьютерах и сервисах. Они смогли запросить Active Directory с помощью внутренних инструментов Windows, используя стандартный протокол LDAP. Aorato считает, что нападавшие просто запросили все услуги, которые содержали строку «MSSQLSvc», а затем предварительно оценили цель каждой службы, посмотрев на имя сервера (например, MSSQLvc/billingServer). Таким же образом, вероятно, нападавшие позже нашли PoS-машины.
Имея имена своих целей, нападавшие получили их IP-адреса — с помощью запросов к DNS-серверу.

Шаг 5: Кража маркера доступа у администраторов домена

К этому моменту, говорит Бири, нападавшие определили свои цели, но им необходимы права доступа, чтобы повлиять на них — предпочтительно привилегии администратора домена.
На основании информации, предоставленной журналисту Брайану Кребсу бывшим членом команды безопасности Target, а также рекомендации, сделанной Visa в своем докладе о взломе, Aorato считает, что нападавшие использовали известную методику атаки под названием «Pass-the-Hash», чтобы получить доступ к хэш-токену NT, что позволило бы им выдавать себя за администратора Active Directory — по крайней мере, до тех пор, пока фактический администратор не изменит свой пароль.

Как еще одно свидетельство использования этой техники, Aorato указывает на использование инструментов, в том числе инструментов теста на проникновение, целью которого является сессия логина и учетные данные NTLM в памяти, извлечение хэшей NT / LM аккаунта домена, истории и дампа хэшей паролей из памяти.

Шаг 6: Создание нового аккаунта администратора домена, используя украденный токен

Предыдущий шаг позволил бы нападавшим маскироваться под администратора домена, но он должен потерять актуальность, если жертва изменит свой пароль, или при попытке получить доступ к некоторым сервисам (например, Remote Desktop), которые требуют явного использования пароля. Следующим шагом является создание новой учетной записи администратора домена.

Нападавшие были в состоянии использовать свои украденные привилегии, чтобы создать новую учетную запись и добавить ее в группу администраторов домена, давая необходимые нападавшим привилегии, а также предоставляя контроль над паролем.
Это, говорит Бири, еще один пример того, как нападавшие прячутся на виду. Новое имя пользователя было «best1_user». Такое же имя пользователя используется в продукте BMC Bladelogic Server Automation.

«Это чрезвычайно ненормальная картина», говорит Бири, отмечая, что простой мониторинг списка пользователей и маркировка новых дополнений для чувствительных аккаунтов, как аккаунты администратора, может остановить нападавших в их попытках. «Вы должны контролировать схемы доступа».

Он также отмечает, что разведывательные действия, предпринятые на четвертом этапе, являются еще одним примером необычной активности, которую можно обнаружить с помощью мониторинга.

«Очень важно следить за разведывательной деятельностью», говорит Бири. «Каждая сеть выглядит по-разному, имеет разную структуру. Злоумышленники должны узнать об этой структуры через запросы. Такое поведение сильно отличается от обычного поведения пользователей».

Шаг 7: Распространение на релевантные компьютеры с помощью новых учетных данных администратора

С новыми учетными данными, нападавшие могли сразу перейти к своим целям. Но Aorato отмечает два препятствия на их пути: обход брандмауэров и других сетевых решений безопасности, которые ограничивают прямой доступ к соответствующим целям и запуск удаленных процессов на разных машинах в цепи, ведущей к их целям.

Aorato говорит, что нападавшие использовали «Angry IP Scanner» для обнаружения компьютеров, которые были доступны через сеть с текущего компьютера, а затем тоннельным способом попали через серию серверов, обходя меры безопасности, используя инструмент перенаправление портов.

Что касается удаленного выполнения процессов на целевых серверах, нападавшие использовали свои полномочия в сочетании с утилитой Microsoft PSEXEC (телнет-замена для выполнения процессов на других системах) и внутренний клиент удаленного рабочего стола (RDP) Windows.

Aorato отмечает, что оба инструмента использовали Active Directory для аутентификации и авторизации пользователя, что означает, что Active Directory знает об этой деятельности, если кто-то ее ищет.

После того, как нападавшие получили доступ к целевым системам, они использовали решение для управления Microsoft Orchestrator, чтобы получить постоянный доступ, который позволит им удаленно выполнять произвольный код на взломанных серверах.

Шаг 8: Украдены 70 миллионов персональных данных. Не найдены кредитные карты

В этот момент, нападавшие использовали инструменты SQL запросов для оценки ценности баз данных серверов и SQL инструмент массового копирования для извлечения содержимого базы данных. И здесь, говорит Бири, соблюдение PCI-стандартов представляет большое препятствие для нападавших — в конечном счете, это то, что, возможно, дало им украсть «всего» 40 миллионов кредитных и дебетовых карт, а не 70 млн, снизив на 40% последствия от нападения.

Раздел 3.2 стандартов PCI-DSS гласит: «Не храните конфиденциальные данные аутентификации после авторизации (даже в зашифрованном виде). При получении конфиденциальных данных аутентификации, сделайте все данные невосстановимыми после завершения процесса авторизации».

Другими словами, в то время как нападавшие уже успел получить доступ к персональным данным 70 миллионов клиентов Target, у них не было доступа к кредитным картам. Нападавшим придется перегруппироваться с новым планом.

«Так как Target была PCI-совместимой, базы данных не хранили информацию о конкретных данных кредитных карт, поэтому они были вынуждены перейти к плану «Б» и украсть кредитные карты непосредственно с точки продаж», говорит Бири.

Шаг 9: Установка вредоносного ПО. Кража 40 миллионов кредитных карт

POS-cистема, вероятно, не была начальной целью нападавших, говорит Бири. Она стала целью только тогда, когда они были не в состоянии получить доступ к данным кредитных карт на серверах, к которым они получили доступ, поэтому они сосредоточились на POS-машинах. Используя данные, полученные во время четвертого шага и возможности удаленного выполнения, полученные во время седьмого этапа, нападавшие установили Kaptoxa (произносится как «Картоха») на POS-машинах. Вредоносная программа была использована для сканирования памяти зараженных машин и сохранения любых кредитных карты, найденных в локальном файле.

Этот шаг, отмечает Бири, является единственным, в котором нападавшие, похоже, используют специально написанное вредоносное ПО, а не обычные ИТ-инструменты.
«Установленный антивирус не поможет вам в этом случае», говорит он. «Когда ставки настолько высоки, что речь идет о нескольких десятках миллионов долларов, они не заботятся о стоимости создания индивидуального инструмента».

Шаг 10: Отправка украденных данных с помощью сетевого ресурса

После того, как вредоносная программа получила данные кредитных карт, она создает удаленную общую папку на удаленной машине с поддержкой FTP с помощью команд Windows и учетных данных администратора домена. Программа периодически копирует локальный файл на удаленную машину.
 
Опять же, Бири отмечает, эту активность можно обнаружить в Active Directory.

Step 11: Отправка украденных данных с помощью FTP

Наконец, как только данные получены на машину с поддержкой FTP, используется скрипт, чтобы отправить файл атакующим, с помощью встроенного FTP-клиента Windows.

«Начальная точка проникновения не вопрос, потому что в конечном итоге вы должны считать, что вас взломают», говорит Бири. «Вы не можете предположить, что будет иначе. Вы должны быть готовы и иметь план реагирования — что делать, когда вас взломали. Реальная проблема возникает, когда вредоносная программа может позволить злоумышленнику проникнуть глубже в сеть».

«Если у вас хорошая видимость, такую активность всегда можно заметить», добавляет он.

Как защитить вашу организацию

Бири рекомендует организациям предпринять следующие шаги, чтобы защитить себя:
•    Усильте контроль доступа. Отслеживайте и профилируйте шаблон доступа к системам для выявления аномальных и странных шаблонов доступа. Где это возможно, используйте многофакторную аутентификацию для чувствительных систем, чтобы уменьшить риски, связанные с кражей учетных данных. Отделяйте сети, ограничьте разрешенные протоколы и чрезмерные привилегии пользователей.
•    Отслеживайте списки пользователей на добавление новых пользователей, особенно привилегированных.
•    Отслеживайте признаки разведки и сбора информации. Обратите особое внимание на чрезмерные и аномальные запросы LDAP.
•    Для чувствительных серверов специального назначения, рассмотрите использование белых списков разрешенных программ.
•    Не полагайтесь на антивредоносные решения в качестве основного смягчающей меры, поскольку злоумышленники в основном используют легитимные ИТ- инструменты.
•    Размещайте контроль безопасности и мониторинга вокруг Active Directory, так как он вовлечен почти во все этапы атаки.
•    Участвуйте в группах по обмену информацией Information Sharing and Analysis Center (ISAC) и Cyber Intelligence Sharing Center (CISC), чтобы получить ценную информацию о тактике, методах и процедурах нападавших.