2019年初,匿名者在pastebin網(wǎng)站上公布了要攻擊的100個(gè)網(wǎng)站的詳細(xì)信息,并通過(guò)YouTube發(fā)布攻擊預(yù)告,將在2月13日針對(duì)中國(guó)政府網(wǎng)站采取行動(dòng)。目前此匿名者已經(jīng)被證實(shí)為國(guó)外藏獨(dú)分子,并不是真正的匿名者。

海青實(shí)驗(yàn)室對(duì)此事件進(jìn)行跟蹤,發(fā)現(xiàn)該組織twitter在2月12號(hào)發(fā)布了一條某政府網(wǎng)站連接信息,疑似被入侵。 　　

目前該站點(diǎn)已關(guān)閉,通過(guò)對(duì)該網(wǎng)站的歷史被收錄的數(shù)據(jù),推測(cè)可見(jiàn)該網(wǎng)站架構(gòu)為T(mén)hinkphp框架,而該框架此前被多次披露存在遠(yuǎn)程代碼執(zhí)行漏洞,該組織可能利用該框架漏洞進(jìn)行入侵。 　　

該組織常用工具 　　

1、Iptodomain(信息收集工具) 　　

該工具允許攻擊者使用virustotal中存檔的歷史信息(使用api密鑰)從IP范圍中提取域名。通過(guò)該工具,可查詢到IP地址關(guān)聯(lián)的域名。 　　

2、https://suip.biz(工具網(wǎng)站) 　　

該網(wǎng)站具有很多功能模塊,并提供在線檢測(cè)的功能。不排除該組織直接使用此網(wǎng)站直接進(jìn)行滲透測(cè)試。包含:IP范圍列舉、信息收集、掃描緩存和Web存檔中的信息泄露、高級(jí)搜索引擎、AdSense服務(wù)、Anti CloudFlare技術(shù)、Web應(yīng)用程序漏洞掃描、Web服務(wù)器漏洞掃描、掃描子域和隱藏文件、Web服務(wù)器分析、電子郵件分析等。 　　

3、Recon-ng(web滲透信息偵察收集工具) 　　

Recon-NG是由python編寫(xiě)的一個(gè)開(kāi)源的Web偵查(信息收集)框架。Recon-ng框架是一個(gè)全特性的工具,使用它可以自動(dòng)的收集信息和網(wǎng)絡(luò)偵查。其命令格式與Metasploit類(lèi)似。默認(rèn)集成數(shù)據(jù)庫(kù),可把查詢結(jié)果結(jié)構(gòu)化存儲(chǔ)在其中,可通過(guò)報(bào)告模塊把結(jié)果導(dǎo)出。 　

4、Discover (開(kāi)源情報(bào)搜集工具) 　　

Discover 是一款很不錯(cuò)的開(kāi)源情報(bào)搜集工具,掃描方式是被動(dòng)探測(cè)掃描。可用于自動(dòng)執(zhí)行各種測(cè)試任務(wù)的自定義bash腳本。通過(guò)設(shè)置獲取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密鑰可被動(dòng)使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,進(jìn)行搜集聯(lián)動(dòng)并進(jìn)行優(yōu)化結(jié)果,功能強(qiáng)大。 　　

該組織歷史攻擊事件 　　

1、入侵國(guó)內(nèi)某論壇進(jìn)行脫庫(kù) 　　

該組織曾入侵某論壇網(wǎng)站,通過(guò)該web系統(tǒng)存在的SQL注入漏洞,進(jìn)行脫庫(kù)獲取論壇數(shù)據(jù)庫(kù)的會(huì)員信息,包含用戶名、密碼、郵箱等信息一萬(wàn)八千多條并公開(kāi)在pastebin網(wǎng)站上。 　　

2、入侵臺(tái)灣物流集團(tuán)公司 　　

該組織曾利用sql注入漏洞,入侵臺(tái)灣萬(wàn)泰國(guó)際物流公司并列舉了數(shù)個(gè)xss漏洞。 　　

攻擊手法 　　

利用收集到的信息,該組織主要通過(guò)自動(dòng)化工具,進(jìn)行全網(wǎng)或針對(duì)特定國(guó)家、組織、或目標(biāo),進(jìn)行大范圍的ip域名掃描和信息收集,作為前期的數(shù)據(jù)源。再通過(guò)WordPress、Drupal、ThinkPHP等通用性較廣的常見(jiàn)Web程序、框架進(jìn)行大規(guī)模的漏洞掃描,若掃描到防護(hù)薄弱并存在漏洞的站點(diǎn),即進(jìn)行入侵,已經(jīng)多次入侵存在明顯注入漏洞的網(wǎng)站。就目前而言,該組織的攻擊手法都相對(duì)初級(jí)。而針對(duì)特定目標(biāo)則會(huì)進(jìn)行定點(diǎn)滲透攻擊。 　　

防御方案 　　

1、可通過(guò)部署安全狗云眼更新操作系統(tǒng)和Web應(yīng)用漏洞的補(bǔ)丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站點(diǎn),必須及時(shí)更新相關(guān)補(bǔ)丁。 　　

2、加強(qiáng)Web應(yīng)用常見(jiàn)漏洞如SQL/XSS等注入漏洞的防護(hù),可通過(guò)部署安全狗云御產(chǎn)品對(duì)可能面臨的各類(lèi)網(wǎng)站攻擊進(jìn)行防護(hù),提升網(wǎng)站安全性。 　　

3、部署安全狗網(wǎng)站防篡改產(chǎn)品云固,避免網(wǎng)站頁(yè)面篡改事件的出現(xiàn)。