Video: Hour of Code: A Minecraft Tale of Two Villages Tutorial (September 2024)
Uttrycket "Advanced Persistent Threat" ger mig en viss bild, en ram av hängivna hackare, outtröttligt grävar efter nya nolldagars attacker, noggrant övervakar offrens nätverk och tyst stjäl data eller utför hemlig sabotage. När allt kommer omkring behövde den ökända Stuxnet-masken flera nolldagars sårbarhet för att uppnå sitt mål, och Stuxnet-spinoff Duqu använde åtminstone en. En ny rapport från Imperva avslöjar dock att det är möjligt att dra av den här typen av attack med mycket mindre sofistikerade medel.
En fot i dörren
Rapporten går i allvarlig detalj om en viss attack som går efter konfidentiell information som lagras på ett företags servrar. Den viktigaste takeaway är detta. Angripare gör absolut ingen attack på servern. Snarare söker de efter de minst säkra enheterna i nätverket, komprometterar dem och lite efter lite parlay denna begränsade tillgång till den behörighetsnivå de behöver.
Den första attacken börjar vanligtvis med en studie av offrens organisation och söker den information som behövs för att skapa en riktad e-post med spjutfiskning. När en olycklig anställd eller annan klickar på länken har de onda fått ett första fotfäste.
Med hjälp av denna begränsade åtkomst till nätverket håller angriparna ett öga på trafiken och letar specifikt efter anslutningar från privilegierade platser till den komprometterade slutpunkten. En svaghet i ett mycket vanligt använt autentiseringsprotokoll som kallas NTLM kan låta dem fånga lösenord eller lösenord hash och därigenom få tillgång till nästa nätverksplats.
Någon har förgiftat vattenhålen!
En annan teknik för att ytterligare infiltrera nätverket innebär aktier i företagens nätverk. Det är mycket vanligt att organisationer skickar information fram och tillbaka genom dessa nätverksaktier. Vissa aktier förväntas inte ha känslig information, så de är mindre skyddade. Och precis som alla djuren besöker djungeln i vattnet, så besöker alla dessa nätverksandelar.
Angripare "förgiftar brunnen" genom att sätta in speciellt utformade genvägslänkar som tvingar kommunikation med de maskiner som de redan har äventyrat. Den här tekniken är ungefär lika avancerad som att skriva en batchfil. Det finns en Windows-funktion som låter dig tilldela en anpassad ikon för vilken mapp som helst. Skurkarna använder helt enkelt en ikon som finns på den komprometterade maskinen. När mappen öppnas måste Windows Utforskaren få den ikonen. Det är tillräckligt med en anslutning för att låta den komprometterade maskinen attackera via autentiseringsprocessen.
Förr eller senare får angriparna kontroll över ett system som har åtkomst till måldatabasen. Vid den tidpunkten, allt de behöver göra är att siffronera informationen och täcka sina spår. Organisationen för offren kanske aldrig vet vad som drabbade dem.
Vad kan göras?
Den fullständiga rapporten går faktiskt mycket mer detaljerat än min enkla beskrivning. Säkerhetsvinsarna kommer att vilja läsa det, säkert. Icke-segrar som är villiga att skumma förbi de hårda sakerna kan fortfarande lära av det.
Ett bra sätt att stänga av den här attacken är att helt sluta använda NTLM-autentiseringsprotokollet och byta till det mycket säkrare Kerberos-protokollet. Problem med bakåtkompatibilitet gör dock detta drag extremt osannolikt.
Rapportens huvudrekommendation är att organisationer noggrant övervakar nätverkstrafik för avvikelser från det normala. Det föreslår också begränsande situationer där processer med hög privilegium ansluter till slutpunkter. Om tillräckligt med stora nätverk vidtar åtgärder för att blockera den här typen av relativt enkel attack, kan attackerarna faktiskt behöva slå sig ner och komma på något riktigt avancerat.
