【IT168 编译】在上一篇文章中《APT攻击背后的秘密:攻击性质及特征分析》，我们介绍了APT攻击的性质及特征。本篇文章，我们将介绍APT攻击前的"敌情"侦察。"敌情"侦察是APT攻击的第一步，攻击者通过这个步骤确定其目标以及攻击方法。本篇文章，我们将详细了解攻击者的"敌情"侦察是怎样做的。

　　个人资料：人是最薄弱的环节

　　很多时候，导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据，以及企业高管的全名以及公司发展史等。

　　其中有些信息可以通过公共记录和网络搜索找到，但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT)，因为任何人都可以免费公开地获取这些信息。问题是，对于大多数来说，来自单一来源的可用OSINT数量通常非常少。

　　由于这种稀缺性，很多网络罪犯会链接信息，即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前，就是利用“dox”来收集关于个人或事物的信息，这些“dox”就是信息链。然而，不只是黑客和犯罪分子，安全专家也会采用这种做法，包括执法机构。

　　这些向公众提供的信息包括：业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。

　　通过这些信息，攻击者将了解其攻击目标以及原因;更重要的是，他们将知道如何攻击这些目标，而不需要进行额外的背景研究。

　　谈到没有受到保护的数据，让我们先看看元数据。

　　元数据：进入企业的隐藏的钥匙

　　在这里，元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置，而且还包含准确的时间戳，以及硬件信息。对于文档(从PDF到PPT)中的元数据，攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

　　了解元数据是很重要的，因为在侦察阶段，攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年，有人代表Anonymous上传了1.2GB torrent文件，让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现，这些机构的文档并没有被偷窃，只是使用FOCA收集的文档信息。

　　在属于美国商会的文档集中，有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据，发现了293个名称，其中大部分是网络ID。虽然只有23个电子邮件地址泄露，但其实攻击者可以轻松获取其他地址，因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。

　　在软件方面，美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称，但鉴于很多企业仍然在使用传统软件，这也是攻击者的宝贵数据。

　　同样重要的是IP地址，以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新，但大量这种信息可以作为攻击企业的起点。

　　FOCA可以帮助企业发现元数据，还有很多可用资源可帮助企业管理和删除元数据。

　　技术信息：入侵基础设施

　　虽然攻击者会使用OSINT来寻找潜在的线索，他们也会查看目标企业网站使用的应用程序和脚本。攻击者会探测目标企业的整个网络中的漏洞，应用程序和脚本并不是唯一的攻击面，它们只是最容易获取的线索。

　　如前所述，攻击者能够知道目标企业使用的软件类型，还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。

　　平台版本号码可以帮助员工找出存在的漏洞，当对于硬件，这些信息可以用来定位默认登录信息。而对于脚本和网站开发，攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。

　　技术侦查的另一种途径是供应链。很多企业经常会公开其业务合作伙伴，这给攻击者提供了另一个可利用的线索。试想一下：如果代理商的账户被攻破，这将对你的企业有何影响?

　　有时候最好的办法就是简单的列出信息，下面是攻击者在侦察活动中可能寻找的信息：

　　OSINT数据

　　▍可下载文件
　　　·这为攻击者提供了直接的信息以及收集元数据的机会

　　▍员工照片和企业活动照片
　　　·这为攻击者提供了直接的信息以及收集元数据的机会

　　▍人员名单以及领导层信息
　　　·了解谁是谁，并建立企业内部的关系

　　▍项目和产品数据
　　　·当搜索攻击面和背景信息时很有用

　　▍B2B关系
　　　·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用

　　▍员工的详细信息
　　　·这包括社交媒体的个人和公共数据

　　▍软件数据
　　　·目标企业内使用的软件类型

　　构建完整的个人资料

　　完整个人资料包括：全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。

　　攻击者会试图收集所有这些信息，每次攻击活动需要的信息量都不同。然而，信息量越大，攻击者成功的几率就越大。

　　构建完整的技术资料

　　技术资料信息包括：网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。

　　有了这些信息，攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建，更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。

　　数据收集资源：

　　在侦察阶段，这些网站被用来收集个人资料信息，每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。

　　攻击者知道去哪里寻找数据。根据不同目标，攻击者会为信息或信息服务付款。然而，请注意，这并不是全面的资源清单，只是经常会提到的资源。

　　Google (www.google.com)

　　个人/企业搜索

　　这些网站提供了对个人用户、企业以及二者之间联系的公共信息。

　　Zoom Info (www.zoominfo.com)
　　PIPL (www.pipl.com)
　　Intelius (www.intelius.com)
　　Muckety (www.muckety.com)

　　其他搜索资源

　　Web Archive (www.archive.org)
　　GeoIP (www.geoiptool.com )
　　Robtex (www.robtex.com)
　　KnowEm (www.knowem.com)
　　ImageOps (http://imgops.com)
　　SHODAN (www.shodanhq.com)

　　整理收集的数据

　　在侦察阶段整理所有收集到的各种信息，推荐的工具是Maltego。Maltego是一个OSINT工具，黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览，能够帮助整理用户、组织、机构、网络信息之间的关联。

　　常见工具和软件

　　对于在侦察阶段攻击者使用的工具，通常很容易获得且易于操作，包括这些：

　　SQLMap (http://sqlmap.org)
　　BackTrack Linux (http://www.backtrack-linux.org)
　　Metasploit (http://metasploit.org)

　　总结

　　防止侦察几乎是不可能的。你可以缓解一些攻击，但互联网本身的性质意味着信息会以这种或那种形式存在，并且，最终将被攻击者发现。对于缓解措施，下面是需要考虑的事情。

　　监控日志记录和分析应用程序中异常下载流量高峰。

　　决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外，良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证，有效管理过时的账户和密码。

　　同样地，监控网络中的ICMP流量。此外，观察对网络子网的扫描。这很罕见，并且相当明显，但这确实会发生。对看似随意的端口进行检查。

　　对于OSINT，另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。

　　虽然这些数据并不是特别重要，但这些数据可以提供广泛的攻击面。如前所述，过滤元数据也是关键的缓解措施。然而，对这些数据的限制需要通过风险评估来确定，这需要所有业务领域的参与。

　　还要注意标语提取，这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后，下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。