第四步：细心侦查

此时，攻击者不得不放慢脚步，来细心做一些侦察。他们有能力运行任意操作系统命令，但进一步的行动还需要Target内部网络的情报，所以他们需要找到存储客户信息和信用卡数据的服务器。

目标是Target的活动目录，这包括数据域的所有成员：用户、计算机和服务。他们能够利用内部Windows工具和LDAP协议查询活动目录。Aorato相信，攻击者只是检索所有包含字符串“MSSQLSvc”的服务，然后通过查看服务器的名称来推断出每个服务器的目的。这也有可能是攻击者稍后用以使用来找到PoS-related机器的过程。

利用攻击目标的名字，Aorato认为，攻击者将随后获得查询DNS服务器的IP地址。

　　第五步：窃取域管理员访问令牌

至此，Be'ery认为，攻击者已经确定他们的目标，但他们需要访问权限尤其是域管理员权限来帮助他们。

基于前Target安全团队成员提供给记者Brian Krebs的信息，Aorato认为，攻击者使用一个名为“Pass-the-Hash”的攻击技术来获得一个NT令牌，让他们模仿活动目录管理员——至少直到实际的管理员去改变其密码。

随着这种技术的深入证实，Aorato指向了工具的使用，包括用于从内存中登录会话和NTLM凭证的渗透测试工具、提取域账户NT / LM历史的散列密码。

　　第六步：新的域管理员帐户

上一步允许攻击者伪装成域管理员，然而一旦受害者改变了密码，或者当试图访问一些需要显示使用密码的服务(如远程桌面)时，他就成为无效的。那么，下一步是创建一个新的域管理员帐户。

攻击者能够使用他们窃取的特权来创建一个新帐户，并将它添加到域管理组，将帐户特权提供给攻击者，同时也给攻击者控制密码的机会。

Be'ery说，这是攻击者隐藏在普通场景中的另一个例子。新用户名是与BMC Bladelogic服务器用户名相同的“best1_user”。

“这是一个高度异常的模式”，Be'ery说，时刻留意监视用户列表的简单步骤和新增等敏感管理员账户都可以对攻击者进行有效阻止，所以必须监控访问模式。

　　第七步：使用新的管理凭证传播到有关计算机

用新的访问凭证，攻击者现在可以继续追求其攻击目标。但是Aorato指出了其路径中的两个障碍：绕过防火墙和限制直接访问相关目标的其他网络安全解决方案，并针对其攻击目标在各种机器上运行远程程序。

Aorato说(+本站微信networkworldweixin)，攻击者用“愤怒的IP扫描器”检测连网电脑，穿过一系列的服务器来绕过安全工具。

至于在目标服务器上远程执行程序，攻击者使用其凭证连接微软PSExec应用程序(在其他系统上执行进程的telnet-replacement)和Windows内部远程桌面客户端。

Aorato指出，这两个工具都使用Active Directory用户进行身份验证和授权，这意味着一旦有人在搜寻，Active Directory将第一时间知晓。

一旦攻击者访问目标系统，他们会使用微软的协调器管理解决方案来获得持续的访问，这将允许他们在受攻击的服务器上远程执行任意代码。

　　第八步：窃取PII 7000万

Aorato说，在这一步，袭击者使用SQL查询工具来评估价数据库服务器和检索数据库内容的SQL批量复制工具的价值。这个过程，其实就是PCI合规所提出的黑客造成的严重数据泄露事故——4000万信用卡。

当攻击者已经成功访问7000万的Target目标客户时，它并没有获得进入信用卡。攻击者将不得不重组一个新的计划。

既然Target符合PCI合规，数据库不存储任何信用卡的具体数据，因此他们不得不转向B计划来直接从销售的角度窃取信用卡。

　　第九步：安装恶意软件 窃取4000万信用卡

PoS系统很可能不是一个攻击者的初始目标。只有当他们无法访问服务器上的信用卡数据时，才会专注于将PoS机作为应急。在第四步中使用网络和第七步的远程执行功能，袭击者在PoS机上安装了Kaptoxa。恶意软件被用来扫描被感染机器的内存并保存本地文件上发现的所有信用卡数据。

唯独在这一步中，袭击者会使用专门的恶意软件而不是常见的工具。

“拥有防病毒工具也不会在这种情况下起到作用”他说，“当赌注太高、利润数千万美元时，他们根本不介意创造特制工具的成本。”

　　第十步：通过网络共享传递窃取数据

一旦恶意软件获取了信用卡数据，它就会使用Windows命令和域管理凭证在远程的FTP机器上创建一个远程文件共享，并会定期将本地文件复制到远程共享。

Be'ery在此强调，这些活动会针对Activity Directory获得授权。

　　第十一步：通过FTP传送窃取数据

最后，一旦数据到达FTP设备，可以使用Windows内部的FTP客户端将一个脚本将文件发送到已被攻击者控制的FTP账号。

初始渗透点并不是故事的终结，因为最终你必须假设你最终将被攻击。你必须做好准备，并当你被攻击时必须有事件响应计划。当恶意软件可以使攻击者能够更深入地探索网络时，真正的问题才会出现。

如果你有正确的判断力，问题将会真的显示出来。

　　如何保护你的企业或组织

加强访问控制。监控文件访问模式系统以识别异常和流氓访问模式。在可能的情况下，使用多因素身份验证进入相关敏感系统，以减少与信用卡凭证相关的风险。隔离网络，并限制协议使用和用户的过度特权。

监控用户的列表，时刻关注新添加用户，尤其是有特权的用户。

监控侦察和信息收集的迹象。特别注意过度查询和不正常的LDAP查询。

考虑允许项目的白名单。

不要依赖反恶意软件解决方案作为主要缓解措施，因为攻击者主要利用合法的工具。

在Active Directory上安装安全与监测控制设备，因为其参与几乎所有阶段的攻击。

参与信息共享和分析中心(ISAC)和网络情报共享中心(CISC)组织，以获得情报袭击者宝贵的战术、技术和程序(TTPs)。

(责任编辑：安博涛)