2019年初,匿名者在pastebin網(wǎng)站上公布了要攻擊的100個網(wǎng)站的詳細信息,并通過YouTube發(fā)布攻擊預告,將在2月13日針對中國政府網(wǎng)站采取行動。目前此匿名者已經(jīng)被證實為國外*分子,并不是真正的匿名者。
海青實驗室對此事件進行跟蹤,發(fā)現(xiàn)該組織twitter在2月12號發(fā)布了一條某政府網(wǎng)站連接信息,疑似被入侵。
目前該站點已關(guān)閉,通過對該網(wǎng)站的歷史被收錄的數(shù)據(jù),推測可見該網(wǎng)站架構(gòu)為Thinkphp框架,而該框架此前被多次披露存在遠程代碼執(zhí)行漏洞,該組織可能利用該框架漏洞進行入侵。
該組織常用工具
1、Iptodomain(信息收集工具)
該工具允許攻擊者使用virustotal中存檔的歷史信息(使用api密鑰)從IP范圍中提取域名。通過該工具,可查詢到IP地址關(guān)聯(lián)的域名。
2、https://suip.biz(工具網(wǎng)站)
該網(wǎng)站具有很多功能模塊,并提供在線檢測的功能。不排除該組織直接使用此網(wǎng)站直接進行滲透測試。包含:IP范圍列舉、信息收集、掃描緩存和Web存檔中的信息泄露、高級搜索引擎、AdSense服務(wù)、Anti CloudFlare技術(shù)、Web應(yīng)用程序漏洞掃描、Web服務(wù)器漏洞掃描、掃描子域和隱藏文件、Web服務(wù)器分析、電子郵件分析等。
3、Recon-ng(web滲透信息偵察收集工具)
Recon-NG是由python編寫的一個開源的Web偵查(信息收集)框架。Recon-ng框架是一個全特性的工具,使用它可以自動的收集信息和網(wǎng)絡(luò)偵查。其命令格式與Metasploit類似。默認集成數(shù)據(jù)庫,可把查詢結(jié)果結(jié)構(gòu)化存儲在其中,可通過報告模塊把結(jié)果導出。
4、Discover (開源情報搜集工具)
Discover 是一款很不錯的開源情報搜集工具,掃描方式是被動探測掃描??捎糜谧詣訄?zhí)行各種測試任務(wù)的自定義bash腳本。通過設(shè)置獲取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密鑰可被動使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,進行搜集聯(lián)動并進行優(yōu)化結(jié)果,功能強大。
該組織歷史攻擊事件
1、入侵國內(nèi)某論壇進行脫庫
該組織曾入侵某論壇網(wǎng)站,通過該web系統(tǒng)存在的SQL注入漏洞,進行脫庫獲取論壇數(shù)據(jù)庫的會員信息,包含用戶名、密碼、郵箱等信息一萬八千多條并公開在pastebin網(wǎng)站上。
2、入侵臺灣物流集團公司
該組織曾利用sql注入漏洞,入侵臺灣萬泰國際物流公司并列舉了數(shù)個xss漏洞。
攻擊手法
利用收集到的信息,該組織主要通過自動化工具,進行全網(wǎng)或針對特定國家、組織、或目標,進行大范圍的ip域名掃描和信息收集,作為前期的數(shù)據(jù)源。再通過WordPress、Drupal、ThinkPHP等通用性較廣的常見Web程序、框架進行大規(guī)模的漏洞掃描,若掃描到防護薄弱并存在漏洞的站點,即進行入侵,已經(jīng)多次入侵存在明顯注入漏洞的網(wǎng)站。就目前而言,該組織的攻擊手法都相對初級。而針對特定目標則會進行定點滲透攻擊。
防御方案
1、可通過部署安全狗云眼更新操作系統(tǒng)和Web應(yīng)用漏洞的補丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站點,必須及時更新相關(guān)補丁。
2、加強Web應(yīng)用常見漏洞如SQL/XSS等注入漏洞的防護,可通過部署安全狗云御產(chǎn)品對可能面臨的各類網(wǎng)站攻擊進行防護,提升網(wǎng)站安全性。
3、部署安全狗網(wǎng)站防篡改產(chǎn)品云固,避免網(wǎng)站頁面篡改事件的出現(xiàn)。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!