在上一篇文章中《APT报复打击背后的奥秘:报复打击性质及特点阐发》,我们介绍了APT报复打击的性质及特点。本篇文章,我们将介绍APT报复打击前的"敌情"窥伺。"敌情"窥伺是APT报复打击的第一步,报复打击者经由过程这个步调肯定其方针和报复打击编制。在此,我们将具体体味报复打击者的"敌情"窥伺是如何做的。
小我资料:人是最亏弱的环节
良多时辰,导致企业遭到报复打击的信息凡是是没有获得足够正视和呵护的信息。这多是德律风号码、电子邮件目次表、文档中的元数据,和企业高管的全名和公司成长史等。
此中有些信息可以经由过程公共记实和收集搜刮找到,但有时局实并不是如斯。公开的小我或企业的信息被称为开源谍报(OSINT),因为任何人都可以避免费公开地获得这些信息。标题问题是,对大年夜大都来讲,来自单一来历的可用OSINT数量凡是很是少。
因为这类稀缺性,良多收集罪犯会链接信息,即整合良多小数据直到获得完全信息。黑客组织Anonymous在策动报复打击前,就是操纵“dox”来汇集关于小我或事物的信息,这些“dox”就是信息链。但是,不只是黑客和犯法分子,安然专家也会采取这类做法,包含法律机构。
这些向公家供给的信息包含:营业陈述、新闻报导、企业网站、社交媒体账户(小我和专业)和来自商业火伴的相干信息。
经由过程这些信息,报复打击者将体味其报复打击方针和启事;更首要的是,他们将知道若何报复打击这些方针,而不需要进行额外的布景研究。
谈到没有遭到呵护的数据,让我们先看看元数据。
元数据:进进企业的隐躲的钥匙
在这里,元数据是指嵌进在文档和图象中的信息。我们其实不是在谈论美国***局汇集的元数据。大年夜大都人都不知道他们上传到网上的图片不但包含图象拍摄位置,并且还包含准确的时候戳,和硬件信息。对文档(从PDF到PPT)中的元数据,报复打击者可以获得软件产品名称和版本、文档作者的名字、收集位置、IP地址等。
体味元数据是很首要的,因为在窥伺阶段,报复打击者汇集的第一个信息是可公开获得的文档。以下是操纵元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让良多人相信美国商会、美国立法交换委员会(ALEC)、公共政策麦基诺中间蒙受了数据泄漏。过后发现,这些机构的文档并没有被盗窃,只是利用FOCA汇集的文档信息。
在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)和12个Excel文档(.xls 和 .xlsx)。 经由过程查抄此中的元数据,发现了293个名称,此中大年夜部门是收集ID。当然只有23个电子邮件地址泄漏,但其实报复打击者可以轻松获得其他地址,因为良多美国商会人员的信息可以经由过程OSINT发现。这些元数据还包含文件夹路径和本地系统路径和web办事器路径。还有共享收集打印器的位置和名称。
在软件方面,美国商会的数据中列出了超越100个软件名称。当然良多软件产品是在成立文档时记实的名称,但鉴于良多企业仍然在利用传统软件,这也是报复打击者的贵重数据。
一样首要的是IP地址,和肯定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。当然有些数据没有更新,但大年夜量这类信息可以作为报复打击企业的解缆点。
FOCA可以帮忙企业发现元数据,还有良多可用资本可帮忙企业治理和删除元数据。
手艺信息:进侵根本举措措施
当然报复打击者会利用OSINT来寻觅暗藏的线索,他们也会查看方针企业网站利用的利用法度和脚本。报复打击者会探测方针企业的全部收集中的缝隙,利用法度和脚本其实不是独一的报复打击面,它们只是最等闲获得的线索。
如前所述,报复打击者可以或许知道方针企业利用的软件类型,还有IP地址、web办事器规格(例如平台版本)、虚拟主机信息和硬件类型。
平台版本号码可以帮忙员工找出存在的缝隙,当对硬件,这些信息可以用来定位默许登录信息。而对脚本和网站开辟,报复打击者可以被动扫描***机缝隙、跨站脚本、SQL注进和其他缝隙。
手艺窥伺的另外一种路子是供给链。良多企业常常会公开其营业合作火伴,这给报复打击者供给了另外一个可操纵的线索。试想一下:假定代办署理商的账户被攻破,这将对你的企业有何影响?
有时辰最好的编制就是简单的列出信息,下面是报复打击者在窥伺勾当中可能寻觅的信息:
OSINT数据
▍可下载文件
·这为报复打击者供给了直接的信息和汇集元数据的机缘
▍员工照片和企业勾当照片
·这为报复打击者供给了直接的信息和汇集元数据的机缘
▍人员名单和带领层信息
·体味谁是谁,并成立企业内部的关系
▍项目和产品数据
·当搜刮报复打击面和布景信息时很有效
▍B2B关系
·这类数据被用来成立供给链关系和发卖渠道以便以后缝隙操纵
▍员工的具体信息
·这包含社交媒体的小我和公共数据
▍软件数据
·方针企业内利用的软件类型
构建完全的小我资料
完全小我资料包含:全名、地址(过往和此刻)、德律风号码(小我和工作)、出世日期、社会安然号码、 ISP的数据(IP地址、供给商)、用户名、暗码、公共记实数据(税收、信贷汗青、法令记实)、欢愉爱好、最喜好的餐馆、片子、册本等等。
报复打击者会试图汇集所有这些信息,每次报复打击勾当需要的信息量都不合。但是,信息量越大年夜,报复打击者成功的概率就越大年夜。
构建完全的手艺资料
手艺资料信息包含:收集地图、从元数据获得的手艺具体信息、IP地址、可用硬件和软件信息、把持系统具体信息、平台开辟数据和验证办法。
有了这些信息,报复打击者可以操纵小我资料数据并对准办事台。知道ID是若何成立的可以帮忙报复打击者体味电子邮件地址是若何成立,更便利地进行垂钓报复打击、猜想地址或初步沟通。报复打击者还可以搜索把持系统、第三方软件和平台数据的缝隙或默许拜候。
数据汇集资本:
在窥伺阶段,这些网站被用来汇集小我资料信息,每个新信息城市给报复打击者带来更多可操纵信息。社交媒体信息会供给名字和图片。
报复打击者知道往哪里寻觅数据。按照不合方针,报复打击者会为信息或信息办事付款。但是,请寄望,这其实不是周全的资本清单,只是常常会提到的资本。
Google (www.谷歌.com)
小我/企业搜刮
这些网站供给了对小我用户、企业和二者之间联系的公共信息。
Zoom Info (www.zoominfo.com)
PIPL (www.pipl.com)
Intelius (www.intelius.com)
Muckety (www.muckety.com)
其他搜刮资本
Web Archive (www.archive.org)
GeoIP (www.geoiptool.com )
Robtex (www.robtex.com)
KnowEm (www.knowem.com)
ImageOps (http://imgops.com)
SHODAN (www.shodanhq.com)
清算汇集的数据
在窥伺阶段清算所有汇集到的各类信息,保举的东西是Maltego。Maltego是一个OSINT东西,黑客、法律机构和安然专家利用它来治理信息链。它供给对数据的可视化概览,可以或许帮忙清算用户、组织、机构、收集信息之间的联系关系。
常见东西和软件
对在窥伺阶段报复打击者利用的东西,凡是很等闲获得且易于把持,包含这些:
SQLMap (http://sqlmap.org)
BackTrack Linux (http://www.backtrack-linux.org)
Metasploit (http://metasploit.org)
总结
避免窥伺几近是不成能的。你可以减缓一些报复打击,但互联网本身的性质意味着信息会以这类或那种情势存在,并且,最终将被报复打击者发现。对减缓办法,下面是需要考虑的工作。
监控日记记实和阐发利用法度中异常下载流量岑岭。
决不承诺内部端口(内网)、文档或存储中间从收集外部拜候。经由过程受限制IP或企业VPN和ACL政策治理对这些资本的拜候。别的,杰出的IAM(身份和拜候治理)也能够作为不错的防御。启用多身分身份验证,有效治理过时的账户和暗码。
一样地,监控收集中的ICMP流量。别的,不雅察对收集子网的扫描。这很罕有,并且相当较着,但这确切会产生。对看似随便的端口进行查抄。
对OSINT,另外一个防驭手艺是限制公开显示的信息量;包含德律风簿、员工名单、过于具体的人员和带领介绍、项目打算、营业和渠道合作火伴和客户名单。
当然这些数据其实不是出格首要,但这些数据可以供给遍及的报复打击面。如前所述,过滤元数据也是关头的减缓办法。但是,对这些数据的限制需要经由过程风险评估来肯定,这需要所有营业范畴的介入。
还要寄望标语提取,这是报复打击者体味企业手艺减缓常常利用的易于利用的手艺。在报复打击者进行窥伺后,下一个步调将是兵器化和交付。本系列的第二部门将研究这个方面和解决编制。