2019年初,匿名者在pastebin網站上公布了要攻擊的100個網站的詳細信息,并通過YouTube發(fā)布攻擊預告,將在2月13日針對中國政府網站采取行動。目前此匿名者已經被證實為國外藏獨分子,并不是真正的匿名者。

海青實驗室對此事件進行跟蹤,發(fā)現該組織twitter在2月12號發(fā)布了一條某政府網站連接信息,疑似被入侵。 　　

目前該站點已關閉,通過對該網站的歷史被收錄的數據,推測可見該網站架構為Thinkphp框架,而該框架此前被多次披露存在遠程代碼執(zhí)行漏洞,該組織可能利用該框架漏洞進行入侵。 　　

該組織常用工具 　　

1、Iptodomain(信息收集工具) 　　

該工具允許攻擊者使用virustotal中存檔的歷史信息(使用api密鑰)從IP范圍中提取域名。通過該工具,可查詢到IP地址關聯的域名。 　　

2、https://suip.biz(工具網站) 　　

該網站具有很多功能模塊,并提供在線檢測的功能。不排除該組織直接使用此網站直接進行滲透測試。包含:IP范圍列舉、信息收集、掃描緩存和Web存檔中的信息泄露、高級搜索引擎、AdSense服務、Anti CloudFlare技術、Web應用程序漏洞掃描、Web服務器漏洞掃描、掃描子域和隱藏文件、Web服務器分析、電子郵件分析等。 　　

3、Recon-ng(web滲透信息偵察收集工具) 　　

Recon-NG是由python編寫的一個開源的Web偵查(信息收集)框架。Recon-ng框架是一個全特性的工具,使用它可以自動的收集信息和網絡偵查。其命令格式與Metasploit類似。默認集成數據庫,可把查詢結果結構化存儲在其中,可通過報告模塊把結果導出。 　

4、Discover (開源情報搜集工具) 　　

Discover 是一款很不錯的開源情報搜集工具,掃描方式是被動探測掃描?？捎糜谧詣訄?zhí)行各種測試任務的自定義bash腳本。通過設置獲取Bing,Builtwith,Fullcontact,GitHub,Google,GoogleCSE,Hashes,Hunter和Shodan的API密鑰可被動使用ARIN,dnsrecon,goofile,goog-mail,goohost,theHarvester,Metasploit,URLCrazy,Whois,進行搜集聯動并進行優(yōu)化結果,功能強大。 　　

該組織歷史攻擊事件 　　

1、入侵國內某論壇進行脫庫 　　

該組織曾入侵某論壇網站,通過該web系統存在的SQL注入漏洞,進行脫庫獲取論壇數據庫的會員信息,包含用戶名、密碼、郵箱等信息一萬八千多條并公開在pastebin網站上。 　　

2、入侵臺灣物流集團公司 　　

該組織曾利用sql注入漏洞,入侵臺灣萬泰國際物流公司并列舉了數個xss漏洞。 　　

攻擊手法 　　

利用收集到的信息,該組織主要通過自動化工具,進行全網或針對特定國家、組織、或目標,進行大范圍的ip域名掃描和信息收集,作為前期的數據源。再通過WordPress、Drupal、ThinkPHP等通用性較廣的常見Web程序、框架進行大規(guī)模的漏洞掃描,若掃描到防護薄弱并存在漏洞的站點,即進行入侵,已經多次入侵存在明顯注入漏洞的網站。就目前而言,該組織的攻擊手法都相對初級。而針對特定目標則會進行定點滲透攻擊。 　　

防御方案 　　

1、可通過部署安全狗云眼更新操作系統和Web應用漏洞的補丁,尤其是使用了WordPress、Drupal CMS和ThinkPHP框架的站點,必須及時更新相關補丁。 　　

2、加強Web應用常見漏洞如SQL/XSS等注入漏洞的防護,可通過部署安全狗云御產品對可能面臨的各類網站攻擊進行防護,提升網站安全性。 　　

3、部署安全狗網站防篡改產品云固,避免網站頁面篡改事件的出現。