安全狗提醒您：大規(guī)模網(wǎng)絡(luò)攻擊可能來(lái)襲

2019年初,匿名者在pastebin網(wǎng)站上公布了要攻擊的100個(gè)網(wǎng)站的詳細(xì)信息,并通過(guò)YouTube發(fā)布攻擊預(yù)告,將在2月13日針對(duì)中國(guó)政府網(wǎng)站采取行動(dòng)。目前此匿名者已經(jīng)被證實(shí)為國(guó)外藏獨(dú)分子,并不是真正的匿名者。

海青實(shí)驗(yàn)室對(duì)此事件進(jìn)行跟蹤,發(fā)現(xiàn)該組織twitter在2月12號(hào)發(fā)布了一條某政府網(wǎng)站連接信息,疑似被入侵。

目前該站點(diǎn)已關(guān)閉,通過(guò)對(duì)該網(wǎng)站的歷史被收錄的數(shù)據(jù),推測(cè)可見(jiàn)該網(wǎng)站架構(gòu)為T(mén)hinkphp框架,而該框架此前被多次披露存在遠(yuǎn)程代碼執(zhí)行漏洞,該組織可能利用該框架漏洞進(jìn)行入侵。

該組織常用工具

1、Iptodomain(信息收集工具)

該工具允許攻擊者使用virustotal中存檔的歷史信息(使用api密鑰)從IP范圍中提取域名。通過(guò)該工具,可查詢(xún)到IP地址關(guān)聯(lián)的域名。

2、https://suip.biz(工具網(wǎng)站)

該網(wǎng)站具有很多功能模塊,并提供在線(xiàn)檢測(cè)的功能。不排除該組織直接使用此網(wǎng)站直接進(jìn)行滲透測(cè)試。包含:IP范圍列舉、信息收集、掃描緩存和Web存檔中的信息泄露、高級(jí)搜索引擎、AdSense服務(wù)、Anti CloudFlare技術(shù)、Web應(yīng)用程序漏洞掃描、Web服務(wù)器漏洞掃描、掃描子域和隱藏文件、Web服務(wù)器分析、電子郵件分析等。

3、Recon-ng(web滲透信息偵察收集工具)

Recon-NG是由python編寫(xiě)的一個(gè)開(kāi)源的Web偵查(信息收集)框架。Recon-ng框架是一個(gè)全特性的工具,使用它可以自動(dòng)的收集信息和網(wǎng)絡(luò)偵查。其命令格式與Metasploit類(lèi)似。默認(rèn)集成數(shù)據(jù)庫(kù),可把查詢(xún)結(jié)果結(jié)構(gòu)化存儲(chǔ)在其中,可通過(guò)報(bào)告模塊把結(jié)果導(dǎo)出。

4、Discover (開(kāi)源情報(bào)搜集工具)

Discover 是一款很不錯(cuò)的開(kāi)源情報(bào)搜集工具,掃描方式是被動(dòng)探測(cè)掃描。可用于自動(dòng)執(zhí)行各種測(cè)試任務(wù)的自定義bash腳本。通過(guò)設(shè)置獲取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密鑰可被動(dòng)使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,進(jìn)行搜集聯(lián)動(dòng)并進(jìn)行優(yōu)化結(jié)果,功能強(qiáng)大。

該組織歷史攻擊事件

1、入侵國(guó)內(nèi)某論壇進(jìn)行脫庫(kù)

該組織曾入侵某論壇網(wǎng)站,通過(guò)該web系統(tǒng)存在的SQL注入漏洞,進(jìn)行脫庫(kù)獲取論壇數(shù)據(jù)庫(kù)的會(huì)員信息,包含用戶(hù)名、密碼、郵箱等信息一萬(wàn)八千多條并公開(kāi)在pastebin網(wǎng)站上。

2、入侵臺(tái)灣物流集團(tuán)公司

該組織曾利用sql注入漏洞,入侵臺(tái)灣萬(wàn)泰國(guó)際物流公司并列舉了數(shù)個(gè)xss漏洞。

攻擊手法

利用收集到的信息,該組織主要通過(guò)自動(dòng)化工具,進(jìn)行全網(wǎng)或針對(duì)特定國(guó)家、組織、或目標(biāo),進(jìn)行大范圍的ip域名掃描和信息收集,作為前期的數(shù)據(jù)源。再通過(guò)WordPress、Drupal、ThinkPHP等通用性較廣的常見(jiàn)Web程序、框架進(jìn)行大規(guī)模的漏洞掃描,若掃描到防護(hù)薄弱并存在漏洞的站點(diǎn),即進(jìn)行入侵,已經(jīng)多次入侵存在明顯注入漏洞的網(wǎng)站。就目前而言,該組織的攻擊手法都相對(duì)初級(jí)。而針對(duì)特定目標(biāo)則會(huì)進(jìn)行定點(diǎn)滲透攻擊。

防御方案

1、可通過(guò)部署安全狗云眼更新操作系統(tǒng)和Web應(yīng)用漏洞的補(bǔ)丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站點(diǎn),必須及時(shí)更新相關(guān)補(bǔ)丁。

2、加強(qiáng)Web應(yīng)用常見(jiàn)漏洞如SQL/XSS等注入漏洞的防護(hù),可通過(guò)部署安全狗云御產(chǎn)品對(duì)可能面臨的各類(lèi)網(wǎng)站攻擊進(jìn)行防護(hù),提升網(wǎng)站安全性。

3、部署安全狗網(wǎng)站防篡改產(chǎn)品云固,避免網(wǎng)站頁(yè)面篡改事件的出現(xiàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。