黑客宣言与开曼国家银行2TB数据泄露事件解析

本文详细分析了开曼国家银行2TB数据泄露事件,涉及黑客利用Shellshock漏洞、SQL注入和社会工程学攻击手法,并探讨了系统安全防护、威胁建模及安全开发实践的重要性。

黑客宣言与开曼国家银行2TB数据泄露事件

作者:Joe Basirico
发布日期:2019年11月19日
阅读时间:5分钟

周六,一个名为“分布式拒绝秘密”(Distributed Denial of Secrets)的透明集体在推特上宣布,他们发布了最近一次数据泄露的大量数据集。超过2TB的数据已被发布,并由DDoS和Torrents托管。除了发布的数据外,黑客还发布了一份宣言和黑客指南,名为“HackBack - 抢劫银行的DIY指南”,与数据转储一起提供。黑客化名为Phineas Fisher,最初用西班牙语编写了HackBack指南,但今天早上我找到了翻译版本。不幸的是,截至本文撰写时,它已从PasteBin移除,但西班牙语版本仍在DDoS的网站上可用。

UnicornRiot对这次泄露事件有一篇很好的总结,也值得一读。

在思考这次泄露时,令我印象深刻的是她的宣言、方法和指导与我们在ReThinkSecurity探索的一些想法奇怪地一致。

“我不是一个拥有编码团队可以为我定制工具的APT。我是一个简单的人,依靠终端提供的东西生存。”

我喜欢这句话。许多黑客过度依赖工具,但终端内置的基本功能可以非常强大。有大量开源工具可以使这些攻击更容易,但她决定设置2FA和凭据盗窃的方式新颖且精心设计。

“我没有设定要黑客特定银行,我想要的是黑客任何银行,这最终成为一个更简单的任务。”

Jason写道,你不必跑得比熊快,你只需要跑得比你旁边的人快。没有完美的安全应用程序。在这篇总结中,Phineas写道,她编写了一个脚本来梳理数百个潜在目标,并决定搜索列表寻找有趣的东西(意思是容易攻击)。开曼群岛听起来是最有趣的目标,所以她决定利用这个目标。你的收获:确保你的系统比邻居更安全。你不想成为低挂的果实。

“现实是,我花了两个星期才意识到它可以通过Shellshock轻松利用,这或许对我不太恭维,但我认为也更鼓舞人心。表明你真的可以自己做到这一点。”

确保你的系统通过补丁和更新得到保护和最新是跑赢黑客的关键组成部分。Shellshock是一系列安全问题,允许攻击者执行任意命令。补丁发布得相对较快,但在大规模服务器群中推出补丁可能很困难。我们仍然在野外发现这个漏洞。

“我在Hacking Team没有任何进展,但我在Gamma Group很幸运,我能够通过基本的SQL注入和文件上传漏洞黑客他们的客户支持门户。”

理解和缓解SQL注入仍然是应用程序安全的关键组成部分。SQL注入可能导致大规模数据泄露甚至命令注入。确保你的开发人员接受培训以防范此漏洞,并理解其重要性和影响。

“所以我学习并练习(见第11节),直到一年后我感觉准备好访问Hacking Team。练习得到了回报,这次我能够从公司进行完全承诺[7]。在我意识到我可以通过Shellshock进入之前,我愿意花费快乐的整个月学习漏洞开发,并为我遇到的内存损坏漏洞编写可靠的漏洞。”

黑客总是深入。他们致力于理解技术细节以全面了解他们攻击的系统,这非常令人印象深刻。我喜欢她愿意花费数月学习漏洞开发以使这次攻击发生的想法。

“在调查他们关于黑客的行为后,我发现有趣的是,在我做这件事的同时,银行可能已经通过有针对性的钓鱼邮件被其他人入侵[1]。正如老话所说,‘给一个人一个漏洞,他将有一天的访问权限,教钓鱼,他将有一生的访问权限。’”

社会工程学和钓鱼作为攻击向量不容低估。我们想要相信和信任人们是好的,并不试图操纵我们,但记住这些人和攻击存在非常重要。我最近在《解构性剥削攻击》帖子中写过这一点。

“他们使用来自bottomline公司的远程Citrix应用程序[4]访问SWIFT网络,其中每个支付消息SWIFT MT103必须经过三名员工:一个‘创建’消息,一个‘验证’它,另一个‘授权它’。由于我已经通过键盘记录器获得了所有凭据,我可以轻松自己执行所有三个步骤。”

我喜欢这个评论,因为显然三名员工验证SWIFT交易是为了应对感知到的威胁而设置的。他们担心其中一个人可能是坏人,或者他们的凭据可能被泄露。由于Phineas拥有所有三组凭据,她能够快速自己授权转账。我相信,通过彻底威胁建模系统的过程,本可以识别这个问题。

“[6 - 发送资金] 我不知道我在做什么,所以我一路发现。”

这一部分很有趣。她概述了她在探索系统时犯的一些错误和失误。所有这些失败本应通过适当的日志和审计系统或SWIFT转账审查检测到。有些事情会出错,当它发生时你会怎么做?你是否有系统来检测进行中的攻击?

“学习黑客的最佳方法是通过黑客。组建一个带有虚拟机的实验室,开始测试东西,休息一下调查任何你不理解的东西。”

我认为这是一个伟大的观点。学习成为一名伟大的安全工程师或研究人员有时可能令人不知所措和困难,但坚持下去并跟随你的兴趣可以以巨大的方式回报。希望对你来说,它将通过合法的工作保护数据、系统和人们的财务来回报,而不是通过向你的加密货币账户进行大规模转账来回报。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次