Video: LEIKATTIIN SALAA OTSATUKKA | 𝐯𝐥𝐨𝐠𝐢 (Marraskuu 2024)
Lause "Pitkäaikainen jatkuva uhka" tuo mieleeni tietyn kuvan, omistautuneiden hakkereiden ryhmän, joka kaivaa väsymättä uusia nollapäivähyökkäyksiä, tarkkailee uhrien verkostoa tarkkaan ja varastaa hiljaa tietoja tai suorittaa salaisia sabotaaseja. Loppujen lopuksi surullisen tuntuva Stuxnet-mato tarvitsi useita nollapäivän haavoittuvuuksia tavoitteensa saavuttamiseksi, ja Stuxnet-spinoff Duqu käytti ainakin yhtä. Impervan uusi raportti paljastaa kuitenkin, että tällainen hyökkäys on mahdollista vetää pois paljon vähemmän kehittyneillä keinoilla.
Jalka ovessa
Raportissa käsitellään vakavia yksityiskohtia tietystä hyökkäyksestä, joka menee yrityksen palvelimille tallennettujen luottamuksellisten tietojen jälkeen. Tärkein takeaway on tämä. Hyökkääjät eivät ehdottomasti asetta hyökkäystä palvelimelle. Pikemminkin he etsivät vähiten turvallisia laitteita verkossa, vaarantavat ne ja vähitellen parloivat tämän rajoitetun pääsyn tarvittaviin käyttöoikeustasoihin.
Alkuperäinen hyökkäys alkaa tyypillisesti uhriorganisaation tutkimuksella, jonka avulla etsitään kohdennetun "keihäsyritys" -sähköpostin laatimiseen tarvittavia tietoja. Kun yksi onneton työntekijä napsauttaa linkkiä, pahat pojat ovat saaneet alusta jalansijan.
Käyttämällä tätä rajoitettua pääsyä verkkoon, hyökkääjät seuraavat liikennettä ja etsivät erityisesti yhteyksiä etuoikeutetuista paikoista vaarannettuun päätepisteeseen. Heikkous erittäin yleisesti käytetyssä NTLM-nimisessä todennusprotokollassa voi antaa heille kaapata salasanoja tai salasanan tiivisteitä ja saada siten pääsyn seuraavaan verkon sijaintiin.
Joku on myrkyttänyt vesireiän!
Toinen tekniikka verkon tunkeutumiseen edelleen liittyy yritysverkkojen osakkeisiin. On hyvin yleistä, että organisaatiot välittävät tietoa edestakaisin näiden verkkoosuuksien kautta. Joillakin osakkeilla ei odoteta olevan arkaluontoisia tietoja, joten ne ovat vähemmän suojattuja. Ja aivan kuten kaikki eläimet käyvät viidakon vesiaukossa, kaikki vierailevat näissä verkon osakkeissa.
Hyökkääjät "myrkyttävät kaivoa" lisäämällä erityisen muotoiltuja pikalinkkejä, jotka pakottavat kommunikoimaan jo vaarannettujen koneiden kanssa. Tämä tekniikka on suunnilleen yhtä edistynyt kuin komentojonotiedoston kirjoittaminen. Siellä on Windows-ominaisuus, jonka avulla voit määrittää mukautetun kuvakkeen mille tahansa kansiolle. Pahat pojat käyttävät vain kuvaketta, joka sijaitsee vaarantuneessa koneessa. Kun kansio avataan, Windows Explorerin on mennä hakemaan kuvake. Se riittää yhteydestä, jotta vaarannettu kone hyökkää todennusprosessin kautta.
Ennemmin tai myöhemmin hyökkääjät saavat hallinnan järjestelmästä, jolla on pääsy kohdetietokantaan. Siinä vaiheessa heidän tarvitsee vain tyhjentää tiedot ja peittää kappaleensa. Uhriorganisaatio ei ehkä koskaan tiedä, mikä heihin osui.
Mitä voidaan tehdä?
Koko raportti menee todellakin paljon yksityiskohtaisempaan kuin yksinkertainen kuvaus. Turvallisuusasiat haluavat lukea sen varmasti. Ei-ihmeet, jotka ovat valmiita hyppäämään kovien asioiden ohi, voivat silti oppia siitä.
Yksi hieno tapa lopettaa tämä hyökkäys olisi lopettaa NTLM-todennusprotokollan käyttö kokonaan ja siirtyä paljon turvallisempaan Kerberos-protokollaan. Taaksepäin yhteensopivuusongelmat tekevät tästä liikkeestä kuitenkin erittäin epätodennäköisen.
Raportin tärkein suositus on, että organisaatiot seuraavat tiiviisti verkkoliikennettä normaalipoikkeamien suhteen. Se ehdottaa myös niiden tilanteiden rajoittamista, joissa korkean etuoikeuden prosessit liittyvät päätepisteisiin. Jos tarpeeksi suuria verkkoja ryhtyy toimiin estääkseen tällaisen suhteellisen yksinkertaisen hyökkäyksen, hyökkääjät joutuvat tosiasiassa joutumaan solkiin ja keksimään jotain todella edistynyttä.