研究员说,进入没有防火墙的网络就像是在一个公园里散步.

在遭受一个新的黑客组织的攻击后，一个几乎没有任何安全防御的无名赌场失去了150000张信用卡的信息。

来自Mandiant和FireEye的研究人员Emmanuel Jean-Georges和Barry Vengerik说,去年“Fin5”黑客组织已经越过了这个组织 “平坦”的IT架构，并袭击了开放支付系统。

他们说这个赌场的支付平台甚至缺乏最基本的防火墙,并且没有日志记录。

Emmanuel Jean-Georges今天在华盛顿告诉Cyber防御峰会(原名Mircon)：“这是一个非常平坦的网络,单一网域, 访问支付系统时还有非常有限的访问控制。”

”这个赌场酒店的运营商甚至连最低限度的基本保护都没有，例如带有默认否认系统、可以限制访问PCI(付款)系统的防火墙…它会减缓攻击者的速度，并降低成功机率。”

他说他的公司已经调查了十几个受到信用卡信息掠夺袭击的企业,并认为可能还会有其它被黑客入侵过的受害者。

Vengerik说,袭击者已经攻击至少两个支付系统提供商，并将目光瞄准了他们的客户,包括这个赌场。

他说，这次事件应该作为一个警告，提醒企业保护好任何一个第三方组织拥有的公司网络访问权。

攻击组织使用了偷来的凭证以确保在初始渗透时不会发生失误。从那里,攻击者将活动目录作为目标,以解锁更多的凭证并获得横向运动。

Vengerik说：“这是典型的横向妥协。”

顾问说，Fin5使用了一个罕见的代号为Tornhull的后门和被称为Flipside的VPN来保持持久性。

在一个事件响应公司进行探测时，这个VPN在最初尝试中丢失。去年攻击者注意到了这个VPN的存在，于是在最后期限的前几个月时回来获取了更多的信用卡。

另一个Fin5的定制工具代号为“Driftwood”，它负责指定位置，而信用卡数据转储由工具FiendCry和XOR完成，这些数据在编码后等待收集。

Vengerik说，这个工具的独特之处在于它获得了“令人难以置信的良好评价”,类似的评论只会在达到商业软件的水平时才会出现。

Fin5与其他的FIN攻击团体没有关联,它将清除所有残留的恶意软件和工具, 如果怀疑自己已被识破，就会清除日志。

Mandiant公司依赖AppCompatCache以观察如何系统是怎样成为目标的。

现在，这个赌场已经使用了两因素身份验证和应用程序白名单,并增加日志，这些只是所有变化中的一部分。

原文链接：http://sec.chinabyte.com/184/13590184.shtml

(责任编辑：腰编辑)