黑客宣言与开曼国家银行2TB数据泄露事件的技术剖析

本文深入分析了开曼国家银行2TB数据泄露事件,涉及黑客利用Shellshock漏洞、SQL注入、社会工程学等技术手段,探讨了系统安全、威胁建模及防护措施,为安全团队提供实战参考。

黑客宣言与开曼国家银行2TB数据泄露事件

作者:Joe Basirico
发布日期:2019年11月19日
阅读时间:5分钟

上周六,一个名为“分布式拒绝秘密”(Distributed Denial of Secrets)的透明集体在推特上宣布,他们发布了最近一次泄露事件的大规模数据集。超过2TB的数据已被发布,并由DDoS和Torrents托管。除了发布的数据外,黑客还发布了一份名为“HackBack - 抢劫银行的DIY指南”的宣言和黑客指南。黑客Phineas Fisher最初用西班牙语编写了HackBack指南,但今天早上我找到了翻译版本。不幸的是,截至撰写本文时,它已从PasteBin删除,但西班牙语版本仍可在DDoS的网站上找到。

UnicornRiot对这次泄露事件有详细的报道,也值得一读。

在思考这次泄露事件时,让我印象深刻的是她的宣言、方法论和指导与我们在ReThinkSecurity探索的一些想法 strangely aligned。

“我不是一个有编码团队可以定制工具的APT。我是一个简单的人,依靠终端提供的东西生存。”

我喜欢这句话。许多黑客过度依赖工具,但终端内置的基本功能可以非常强大。有大量开源工具可以使这些攻击更容易,但她决定设置2FA和凭据盗窃的方式新颖且 expertly crafted。

“我没有设定要黑客特定银行,我想要的是黑客任何银行,这最终成为一个更简单的任务。”

Jason写道,你不必跑得比熊快,只需跑得比你旁边的人快。没有完美安全的应用程序。在这篇报道中,Phineas写道,她编写了一个脚本来梳理数百个潜在目标,并决定搜索列表寻找有趣的东西(意思是容易攻击)。开曼群岛听起来是最有趣的目标,所以她决定利用这个目标。你的收获:确保你的系统比邻居更安全。你不想成为低 hanging fruit。

“现实是,我花了两个星期才意识到它可以用Shellshock轻松利用,这或许对我不太 flattering,但我认为它也更 inspiring。表明你真的可以自己做这件事。”

通过修补和更新确保系统安全和最新是 out running 黑客的关键组成部分。Shellshock是一系列安全问题,允许攻击者执行任意命令。补丁相对较快发布,但在大规模服务器 fleet 中推出补丁可能很困难。我们仍然在野外发现这个漏洞。

“我在Hacking Team上没有任何进展,但我在Gamma Group上很幸运,我能够通过基本的SQL注入和文件上传漏洞黑客他们的客户支持门户。”

理解和缓解SQL注入仍然是应用程序安全的关键组成部分。SQL注入可能导致大规模数据泄露甚至命令注入。确保你的开发人员接受培训以防范此漏洞,并理解其重要性和影响。

“所以我学习并练习(见第11节),直到一年后我感觉准备好访问Hacking Team。练习 pay off,这次我能够从公司 complete commitment。在我意识到我可以用Shellshock进入之前,我愿意花 happy whole months 学习漏洞开发,并为我遇到的内存损坏漏洞编写可靠的漏洞。”

黑客总是深入。他们对理解技术细节的奉献,以 develop 对攻击系统的 complete knowledge,非常 impressive。我喜欢她愿意 dedicate months 学习漏洞开发以使这次攻击发生。

“在调查他们关于黑客的行为后,我发现有趣的是,与此同时,银行可能通过 targeted phishing email 被其他人 compromised。正如老话所说,‘给一个人一个漏洞,他将有一天的访问权,教钓鱼,他将有一生的访问权。’”

社会工程学和钓鱼作为攻击向量 cannot be understated。我们想相信和信任人们是好的,不试图操纵我们,但记住这些人和攻击存在非常重要。我最近在“解构性剥削攻击”帖子中写过这个。

“他们使用 bottomline company 的远程Citrix应用程序访问SWIFT网络,其中每个支付消息SWIFT MT103必须经过三名员工:一个‘创建’消息,一个‘验证’它,另一个‘授权它。’由于我已经有了所有凭据 thanks to the keylogger,我可以轻松地自己执行所有三个步骤。”

我喜欢这个评论,因为 clearly 三名员工验证SWIFT交易是为了应对 perceived threat。他们担心其中一个人可能是坏 actor,或者他们的凭据可能 compromised。由于Phineas有三组凭据,她能够 quickly authorize 转账 herself。通过彻底威胁建模系统的过程 would have identified 这个问题,我相信。

“[6 - 发送资金] 我不知道我在做什么,所以我在过程中 discover it。”

这一部分 fascinating。她概述了她在探索系统时 upfront 犯的一些错误和 blunders。所有这些失败 should have been detected 通过适当的日志记录和审计系统或SWIFT转账 reviews for the days。 something will go wrong,当它发生时你会做什么?你是否有系统来 detect an attack in progress?

“学习黑客的最佳方式是通过黑客。组装一个实验室与虚拟机,开始测试东西,休息一下调查任何你不理解的东西。”

我认为这是一个伟大的 sentiment。学习成为伟大的安全工程师或研究人员有时可能 overwhelming and difficult,但坚持下去并跟随你的兴趣可以 really pay off in a massive way。希望对你来说,它将通过合法工作保护数据、系统和人们的财务来 pay off,而不是通过向你的加密货币账户进行大规模转账来 pay off。

请订阅我们的新闻通讯。每个月我们发送一份新闻通讯,包含新闻摘要和我们最近几篇文章的链接。不要错过!

另请参阅

  • 解构性剥削攻击
  • 你在安全上花费太多
  • 安全需要承诺
  • 我们中没有人知道我们在做什么

分享与讨论

  • 在HackerNews上讨论
  • 在Twitter上分享

归档于
数据泄露、黑客

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次