Video: Our Miss Brooks: English Test / First Aid Course / Tries to Forget / Wins a Man's Suit (Noiembrie 2024)
Sintagma „Amenințare persistentă avansată” îmi aduce în minte o imagine particulară, un cadru de hackeri devotați, care săpă neobosit pentru noi atacuri de zile zero, monitorizează îndeaproape rețeaua victimelor și fură în tăcere date sau efectuează sabotaje secrete. La urma urmei, infamul vierme Stuxnet a avut nevoie de mai multe vulnerabilități pentru o zi zero pentru a-și atinge scopul, iar Stuqunet spinoff Duqu a folosit cel puțin unul. Cu toate acestea, un nou raport al Imperva dezvăluie că este posibil să elimini acest tip de atac folosind mijloace mult mai puțin sofisticate.
Un picior în ușă
Raportul intră în detalii serioase cu privire la un anumit atac care se întâmplă după informații confidențiale stocate pe serverele unei întreprinderi. Chestiunea-cheie este aceasta. Atacatorii nu fac absolut un atac pe server. Mai degrabă, aceștia caută dispozitivele cele mai puțin sigure din rețea, le compromit și încetul cu încetul accesează acest acces limitat la nivelul de privilegii de care au nevoie.
Atacul inițial începe în mod obișnuit cu un studiu al organizației victimelor, căutând informațiile necesare pentru crearea unui e-mail de tip „spear de lance”. Odată ce un angajat neplăcut sau altul face clic pe link, cei răi au câștigat un punct inițial.
Folosind acest acces limitat la rețea, atacatorii urmăresc traficul, căutând în special conexiuni din locații privilegiate până la punctul compromis. O slăbiciune într-un protocol de autentificare foarte des numit NTLM le poate permite să capteze parole sau hașe de parolă și, astfel, să obțină acces la următoarea locație de rețea.
Cineva a fost otrăvit cu gaura de apă!
O altă tehnică pentru infiltrarea ulterioară a rețelei implică acțiuni de rețele corporative. Este foarte comun ca organizațiile să transmită informații înainte și înapoi prin aceste partaje de rețea. Unele acțiuni nu sunt așteptate să dețină informații sensibile, deci sunt mai puțin protejate. Și, la fel cum toate animalele vizitează gaura de apă din junglă, toată lumea vizitează aceste acțiuni de rețea.
Atacatorii „otrăvesc puțul” introducând link-uri de comandă special concepute care forțează comunicarea cu mașinile pe care le-au compromis deja. Această tehnică este la fel de avansată ca scrierea unui fișier de lot. Există o caracteristică Windows care vă permite să atribuiți o pictogramă personalizată pentru orice folder. Cei răi folosesc pur și simplu o pictogramă situată pe mașina compromisă. Când folderul este deschis, Windows Explorer trebuie să accepte această pictogramă. Este suficient o conexiune pentru a lăsa atacul mașinii compromise prin procesul de autentificare.
Mai devreme sau mai târziu, atacatorii obțin controlul asupra unui sistem care are acces la baza de date țintă. În acel moment, tot ce trebuie să facă este să sifoneze datele și să le acopere piesele. Este posibil ca organizația victimelor să nu știe niciodată ce i-a lovit.
Ce se poate face?
Raportul complet intră de fapt într-un detaliu mult mai mare decât simpla mea descriere. Cu siguranță, arătările de securitate vor dori să o citească. Non-winks care sunt dispuși să treacă peste lucrurile grele pot învăța încă de la ea.
O modalitate excelentă de a opri acest atac ar fi să opriți în întregime utilizarea protocolului de autentificare NTLM și să treceți la protocolul Kerberos mult mai sigur. Problemele de compatibilitate înapoi fac ca această mișcare să fie extrem de puțin probabilă.
Recomandarea principală a raportului este ca organizațiile să monitorizeze îndeaproape traficul de rețea pentru abateri de la normal. De asemenea, sugerează limitarea situațiilor în care procesele cu privilegii ridicate se conectează cu punctele finale. Dacă suficient de multe rețele mari iau măsuri pentru a bloca acest tip de atac relativ simplu, poate că atacatorii ar trebui să se dea jos și să vină cu ceva cu adevărat avansat.