Видео: ПРИШЛА МАСЛЕНИЦА К ЖЕЛЕЙНОМУ МЕДВЕДЮ ВАЛЕРЕ (Септември 2024)
Изразът "Advanced Persistent Threat" внася в съзнанието ми конкретен образ, кадър от всеотдайни хакери, неуморно копаещи за нови атаки с нулев ден, внимателно проследяване на мрежата на жертвите и мълчаливо кражба на данни или извършване на тайни саботажи. В крайна сметка, скандалният червей Stuxnet се нуждаеше от множество уязвимости за нулев ден, за да постигне целта си, а Stuxnet spinoff Duqu използва поне една. Нов доклад на Imperva обаче разкрива, че е възможно да се оттегли този вид атака, като се използват много по-малко сложни средства.
Крак във вратата
Докладът обхваща сериозни подробности относно конкретна атака, която продължава след поверителна информация, съхранявана на сървърите на Enterprise. Ключовото извличане е това. Нападателите абсолютно не монтират атака на сървъра. По-скоро те търсят най-малко защитените устройства в мрежата, компрометират ги и малко по малко този ограничен достъп до необходимото ниво на привилегии.
Първоначалната атака обикновено започва с проучване на организацията на жертвата, като се търси информация, необходима за изработване на целенасочен имейл с „копие фишинг“. След като един нещастен служител или друг щракне върху връзката, лошите момчета се сдобиват с първоначална опора.
Използвайки този ограничен достъп до мрежата, нападателите следят трафика, по-специално търсейки връзки от привилегировани места до компрометираната крайна точка. Слабостта в много често използвания протокол за удостоверяване, наречен NTLM, може да им позволи да улавят пароли или хеши за пароли и по този начин да получат достъп до следващото местоположение на мрежата.
Някой отрови водната дупка!
Друга техника за по-нататъшно проникване в мрежата включва акции на корпоративни мрежи. Много често е организациите да предават информация напред и назад чрез тези мрежови дялове. Не се очаква някои акции да съдържат чувствителна информация, така че те са по-малко защитени. И както всички животни посещават дупката на водата в джунглата, всички посещават тези мрежови акции.
Атакуващите „отравят кладенеца“, като вмъкват специално изработени връзки за пряк път, които налагат комуникация с машините, които вече са компрометирани. Тази техника е почти толкова напреднала, колкото и писането на файлов пакет. Има функция на Windows, която ви позволява да зададете персонализирана икона за всяка папка. Лошите момчета просто използват икона, която се намира на компрометираната машина. Когато папката се отвори, Windows Explorer трябва да отиде да получи тази икона. Това е достатъчно за връзка, за да може компрометираната машина да атакува чрез процеса на удостоверяване.
Рано или късно нападателите получават контрол върху система, която има достъп до целевата база данни. В този момент всичко, което трябва да направят, е да изтрият данните и да покрият своите песни. Организацията на жертвите може никога да не знае какво ги е ударило.
Какво може да се направи?
Пълният доклад всъщност влиза в много повече подробности от моето просто описание. Защитата на сигурността ще иска да го прочете със сигурност. Не-печелившите, които са готови да пробягат покрай тежките неща, все още могат да се научат от това.
Един чудесен начин за изключване на тази конкретна атака би бил напълно да спрете да използвате протокола за удостоверяване на NTLM и да преминете към много по-сигурния протокол Kerberos. Проблемите с обратна съвместимост обаче правят този ход изключително малко вероятен.
Основната препоръка на доклада е организациите да следят внимателно мрежовия трафик за отклонения от нормалното. Той също така предлага ограничаване на ситуации, при които процесите с високи привилегии се свързват с крайни точки. Ако достатъчно големи мрежи предприемат стъпки за блокиране на този вид сравнително проста атака, нападателите всъщност може да се наложи да се справят и да измислят нещо наистина напреднало.
