2019年初,匿名者在pastebin网站上公布了要攻击的100个网站的详细信息,并通过YouTube发布攻击预告,将在2月13日针对中国政府网站采取行动。目前此匿名者已经被证实为国外藏独分子,并不是真正的匿名者。
海青实验室对此事件进行跟踪,发现该组织twitter在2月12号发布了一条某政府网站连接信息,疑似被入侵。
目前该站点已关闭,通过对该网站的历史被收录的数据,推测可见该网站架构为Thinkphp框架,而该框架此前被多次披露存在远程代码执行漏洞,该组织可能利用该框架漏洞进行入侵。
该组织常用工具
1、Iptodomain(信息收集工具)
该工具允许攻击者使用virustotal中存档的历史信息(使用api密钥)从IP范围中提取域名。通过该工具,可查询到IP地址关联的域名。
2、https://suip.biz(工具网站)
该网站具有很多功能模块,并提供在线检测的功能。不排除该组织直接使用此网站直接进行渗透测试。包含:IP范围列举、信息收集、扫描缓存和Web存档中的信息泄露、高级搜索引擎、AdSense服务、Anti CloudFlare技术、Web应用程序漏洞扫描、Web服务器漏洞扫描、扫描子域和隐藏文件、Web服务器分析、电子邮件分析等。
3、Recon-ng(web渗透信息侦察收集工具)
Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架。Recon-ng框架是一个全特性的工具,使用它可以自动的收集信息和网络侦查。其命令格式与Metasploit类似。默认集成数据库,可把查询结果结构化存储在其中,可通过报告模块把结果导出。
4、Discover (开源情报搜集工具)
Discover 是一款很不错的开源情报搜集工具,扫描方式是被动探测扫描。可用于自动执行各种测试任务的自定义bash脚本。通过设置获取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密钥可被动使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,进行搜集联动并进行优化结果,功能强大。
该组织历史攻击事件
1、入侵国内某论坛进行脱库
该组织曾入侵某论坛网站,通过该web系统存在的SQL注入漏洞,进行脱库获取论坛数据库的会员信息,包含用户名、密码、邮箱等信息一万八千多条并公开在pastebin网站上。
2、入侵台湾物流集团公司
该组织曾利用sql注入漏洞,入侵台湾万泰国际物流公司并列举了数个xss漏洞。
攻击手法
利用收集到的信息,该组织主要通过自动化工具,进行全网或针对特定国家、组织、或目标,进行大范围的ip域名扫描和信息收集,作为前期的数据源。再通过WordPress、Drupal、ThinkPHP等通用性较广的常见Web程序、框架进行大规模的漏洞扫描,若扫描到防护薄弱并存在漏洞的站点,即进行入侵,已经多次入侵存在明显注入漏洞的网站。就目前而言,该组织的攻击手法都相对初级。而针对特定目标则会进行定点渗透攻击。
防御方案
1、可通过部署安全狗云眼更新操作系统和Web应用漏洞的补丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站点,必须及时更新相关补丁。
2、加强Web应用常见漏洞如SQL/XSS等注入漏洞的防护,可通过部署安全狗云御产品对可能面临的各类网站攻击进行防护,提升网站安全性。
3、部署安全狗网站防篡改产品云固,避免网站页面篡改事件的出现。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。