2019年初,匿名者在pastebin网站上公布了要攻击的100个网站的详细信息,并通过YouTube发布攻击预告,将在2月13日针对中国政府网站采取行动。目前此匿名者已经被证实为国外藏独分子,并不是真正的匿名者。

海青实验室对此事件进行跟踪,发现该组织twitter在2月12号发布了一条某政府网站连接信息,疑似被入侵。

目前该站点已关闭,通过对该网站的历史被收录的数据,推测可见该网站架构为Thinkphp框架,而该框架此前被多次披露存在远程代码执行漏洞,该组织可能利用该框架漏洞进行入侵。

该组织常用工具

1、Iptodomain(信息收集工具)

该工具允许攻击者使用virustotal中存档的历史信息(使用api密钥)从IP范围中提取域名。通过该工具,可查询到IP地址关联的域名。

2、https://suip.biz(工具网站)

该网站具有很多功能模块,并提供在线检测的功能。不排除该组织直接使用此网站直接进行渗透测试。包含:IP范围列举、信息收集、扫描缓存和Web存档中的信息泄露、高级搜索引擎、AdSense服务、Anti CloudFlare技术、Web应用程序漏洞扫描、Web服务器漏洞扫描、扫描子域和隐藏文件、Web服务器分析、电子邮件分析等。

3、Recon-ng(web渗透信息侦察收集工具)

Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架。Recon-ng框架是一个全特性的工具,使用它可以自动的收集信息和网络侦查。其命令格式与Metasploit类似。默认集成数据库,可把查询结果结构化存储在其中,可通过报告模块把结果导出。

4、Discover (开源情报搜集工具)

Discover 是一款很不错的开源情报搜集工具,扫描方式是被动探测扫描。可用于自动执行各种测试任务的自定义bash脚本。通过设置获取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密钥可被动使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,进行搜集联动并进行优化结果,功能强大。

该组织历史攻击事件

1、入侵国内某论坛进行脱库

该组织曾入侵某论坛网站,通过该web系统存在的SQL注入漏洞,进行脱库获取论坛数据库的会员信息,包含用户名、密码、邮箱等信息一万八千多条并公开在pastebin网站上。

2、入侵台湾物流集团公司

该组织曾利用sql注入漏洞,入侵台湾万泰国际物流公司并列举了数个xss漏洞。

攻击手法

利用收集到的信息,该组织主要通过自动化工具,进行全网或针对特定国家、组织、或目标,进行大范围的ip域名扫描和信息收集,作为前期的数据源。再通过WordPress、Drupal、ThinkPHP等通用性较广的常见Web程序、框架进行大规模的漏洞扫描,若扫描到防护薄弱并存在漏洞的站点,即进行入侵,已经多次入侵存在明显注入漏洞的网站。就目前而言,该组织的攻击手法都相对初级。而针对特定目标则会进行定点渗透攻击。

防御方案

1、可通过部署安全狗云眼更新操作系统和Web应用漏洞的补丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站点,必须及时更新相关补丁。

2、加强Web应用常见漏洞如SQL/XSS等注入漏洞的防护,可通过部署安全狗云御产品对可能面临的各类网站攻击进行防护,提升网站安全性。

3、部署安全狗网站防篡改产品云固,避免网站页面篡改事件的出现。