研究员说,进入没有防火墙的网络就像是在一个公园里散步.
在遭受一个新的黑客组织的攻击后,一个几乎没有任何安全防御的无名赌场失去了150000张信用卡的信息。
来自Mandiant和FireEye的研究人员Emmanuel Jean-Georges和Barry Vengerik说,去年“Fin5”黑客组织已经越过了这个组织 “平坦”的IT架构,并袭击了开放支付系统。
他们说这个赌场的支付平台甚至缺乏最基本的防火墙,并且没有日志记录。
Emmanuel Jean-Georges今天在华盛顿告诉Cyber防御峰会(原名Mircon):“这是一个非常平坦的网络,单一网域, 访问支付系统时还有非常有限的访问控制。”
”这个赌场酒店的运营商甚至连最低限度的基本保护都没有,例如带有默认否认系统、可以限制访问PCI(付款)系统的防火墙…它会减缓攻击者的速度,并降低成功机率。”
他说他的公司已经调查了十几个受到信用卡信息掠夺袭击的企业,并认为可能还会有其它被黑客入侵过的受害者。
Vengerik说,袭击者已经攻击至少两个支付系统提供商,并将目光瞄准了他们的客户,包括这个赌场。
他说,这次事件应该作为一个警告,提醒企业保护好任何一个第三方组织拥有的公司网络访问权。
攻击组织使用了偷来的凭证以确保在初始渗透时不会发生失误。从那里,攻击者将活动目录作为目标,以解锁更多的凭证并获得横向运动。
Vengerik说:“这是典型的横向妥协。”
攻击工具流程图。
顾问说,Fin5使用了一个罕见的代号为Tornhull的后门和被称为Flipside的VPN来保持持久性。
在一个事件响应公司进行探测时,这个VPN在最初尝试中丢失。去年攻击者注意到了这个VPN的存在,于是在最后期限的前几个月时回来获取了更多的信用卡。
另一个Fin5的定制工具代号为“Driftwood”,它负责指定位置,而信用卡数据转储由工具FiendCry和XOR完成,这些数据在编码后等待收集。
Vengerik说,这个工具的独特之处在于它获得了“令人难以置信的良好评价”,类似的评论只会在达到商业软件的水平时才会出现。
Fin5与其他的FIN攻击团体没有关联,它将清除所有残留的恶意软件和工具, 如果怀疑自己已被识破,就会清除日志。
Mandiant公司依赖AppCompatCache以观察如何系统是怎样成为目标的。
现在,这个赌场已经使用了两因素身份验证和应用程序白名单,并增加日志,这些只是所有变化中的一部分。
文章原文链接:https://www.anquanke.com/post/id/82730