网络安全 频道

APT攻击背后的秘密:攻击前的"敌情"侦察

  元数据:进入企业的隐藏的钥匙

  在这里,元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置,而且还包含准确的时间戳,以及硬件信息。对于文档(从PDF到PPT)中的元数据,攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

  了解元数据是很重要的,因为在侦察阶段,攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年,有人代表Anonymous上传了1.2GB torrent文件,让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现,这些机构的文档并没有被偷窃,只是使用FOCA收集的文档信息。

  在属于美国商会的文档集中,有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据,发现了293个名称,其中大部分是网络ID。虽然只有23个电子邮件地址泄露,但其实攻击者可以轻松获取其他地址,因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。

  在软件方面,美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称,但鉴于很多企业仍然在使用传统软件,这也是攻击者的宝贵数据。

  同样重要的是IP地址,以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新,但大量这种信息可以作为攻击企业的起点。

  FOCA可以帮助企业发现元数据,还有很多可用资源可帮助企业管理和删除元数据。

0
相关文章