视频: /e/ Phoneme vs /ae/ Phoneme (十一月 2024)
“高级持续威胁”这个词使我联想到一个特殊的形象,一群忠实的黑客,不知疲倦地挖掘新的零日攻击,密切监视受害者网络,默默地窃取数据或进行秘密破坏活动。 毕竟,臭名昭著的Stuxnet蠕虫需要多个零日漏洞来实现其目标,而Stuxnet衍生产品Duqu至少使用了一个。 但是,Imperva的一份新报告显示,可以使用不太复杂的方法进行此类攻击。
脚在门上
该报告详细介绍了有关特定攻击的详细信息,该攻击发生在企业服务器上存储的机密信息之后。 关键要点是这个。 攻击者绝对不会在服务器上发起攻击。 相反,他们搜索网络中最不安全的设备,对它们进行破坏,并逐渐限制了对他们所需特权级别的有限访问。
最初的攻击通常始于对受害者组织的研究,以寻找制作有针对性的“鱼叉式网络钓鱼”电子邮件所需的信息。 一旦一个不幸的员工或另一个员工单击了链接,坏蛋就会获得最初的立足点。
攻击者使用这种对网络的有限访问,可以密切注意流量,特别是寻找从特权位置到受感染端点的连接。 NTLM是一种非常常用的身份验证协议,它的一个弱点是允许他们捕获密码或密码哈希,从而获得对下一个网络位置的访问。
有人将水坑中毒了!
进一步渗透网络的另一种技术涉及公司网络共享。 组织通过这些网络共享来回传递信息是非常普遍的。 预计某些股票不会保存敏感信息,因此它们的保护程度较低。 并且,正如所有动物都访问丛林水坑一样,每个人都访问这些网络共享。
攻击者通过插入特制的快捷链接来“毒化井”,这些快捷链接强制与他们已经受到威胁的计算机进行通信。 该技术与编写批处理文件一样先进。 Windows有一项功能,可让您为任何文件夹分配自定义图标。 坏人只是使用位于受感染计算机上的图标。 打开文件夹后,Windows资源管理器必须转到该图标。 这足以使受感染的计算机通过身份验证过程进行攻击。
攻击者迟早会获得对有权访问目标数据库的系统的控制权。 那时,他们所需要做的就是虹吸数据并掩盖其轨迹。 受害组织可能永远不知道是什么打击了他们。
可以做什么?
完整的报告实际上比我的简单描述要详细得多。 安全专家肯定会想要阅读它。 愿意略过难点的非独行侠仍然可以从中学习。
阻止此特定攻击的一种好方法是完全停止使用NTLM身份验证协议,然后切换到更加安全的Kerberos协议。 但是,向后兼容性问题使此举极为不可能。
该报告的主要建议是,组织应密切监视网络流量以发现与正常情况之间的偏差。 它还建议限制高特权进程与端点连接的情况。 如果足够多的大型网络采取措施来阻止这种相对简单的攻击,则攻击者实际上可能不得不采取行动并提出真正先进的措施。
