Video: Trek Madone SLR (Oktober 2024)
Udtrykket "Advanced Persistent Threat" bringer mig et specielt billede, et kammer med hengivne hackere, utrætteligt at grave efter nye angreb på nul dage, nøje overvåge offerets netværk og tavse stjæle data eller udføre hemmelig sabotage. Når alt kommer til alt krævede den berygtede Stuxnet-orm flere nul-dages sårbarhed for at nå sit mål, og Stuxnet-spinoff Duqu brugte mindst en. Imidlertid afslører en ny rapport fra Imperva, at det er muligt at trække denne form for angreb ved hjælp af langt mindre sofistikerede midler.
En fod i døren
Rapporten går i alvorlige detaljer om et bestemt angreb, der går efter fortrolige oplysninger, der er gemt på en Enterprise-server. Den vigtigste afhentning er dette. Angribere monterer absolut ikke et angreb på serveren. Snarere søger de efter de mindst sikre enheder i netværket, kompromitterer dem og lidt efter lidt parlayer denne begrænsede adgang til det privilegiumniveau, de har brug for.
Det første angreb begynder typisk med en undersøgelse af ofreorganisationen, der søger de oplysninger, der er nødvendige for at oprette en målrettet "spyd phishing" e-mail. Når en eller anden ulykkelig medarbejder klikker på linket, har de onde fået et første fodfæste.
Ved hjælp af denne begrænsede adgang til netværket holder angribere øje med trafikken og søger specifikt forbindelser fra privilegerede placeringer til det kompromitterede slutpunkt. En svaghed i en meget almindeligt anvendt godkendelsesprotokol kaldet NTLM kan give dem mulighed for at fange adgangskoder eller adgangskodehasjer og derved få adgang til den næste netværksplacering.
Nogen har giftet vandhullet!
En anden teknik til yderligere infiltrering af netværket involverer virksomhedsnetværksandele. Det er meget almindeligt, at organisationer videregiver information frem og tilbage gennem disse netværksandele. Nogle aktier forventes ikke at have følsomme oplysninger, så de er mindre beskyttet. Og ligesom alle dyrene besøger junglevandhullet, besøger alle disse netværksandele.
Angribere "forgifte brønden" ved at indsætte specielt udformede genvejsforbindelser, der tvinger kommunikation med de maskiner, de allerede har gået på kompromis med. Denne teknik er omtrent så avanceret som at skrive en batchfil. Der er en Windows-funktion, der giver dig mulighed for at tildele et brugerdefineret ikon til enhver mappe. De onde bruger simpelthen et ikon, der er placeret på den kompromitterede maskine. Når mappen åbnes, skal Windows Stifinder gå dette ikon. Det er nok af en forbindelse til at lade den kompromitterede maskine angribe via godkendelsesprocessen.
Før eller senere får angriberen kontrol over et system, der har adgang til måldatabasen. På det tidspunkt er alt, hvad de skal gøre, at sifonere dataene og dække deres spor. Organisationen for ofre ved måske aldrig, hvad der ramte dem.
Hvad kan gøres?
Den fulde rapport går faktisk langt mere detaljeret end min enkle beskrivelse. Sikkerhedsvindere vil gerne læse det, helt sikkert. Ikke-vindere, der er villige til at skumme forbi de hårde ting, kan stadig lære af det.
En fantastisk måde at lukke netop dette angreb på ville være at helt stoppe med at bruge NTLM-godkendelsesprotokollen og skifte til den meget mere sikre Kerberos-protokol. Problemer med bagudkompatibilitet gør dette skridt dog yderst usandsynligt.
Rapportens hovedanbefaling er, at organisationer nøje overvåger netværkstrafik for afvigelser fra det normale. Det foreslår også begrænsende situationer, hvor processer med høj privilegium er forbundet med slutpunkter. Hvis nok store netværk tager skridt til at blokere for denne form for relativt simpelt angreb, kan angribere faktisk være nødt til at slå sig sammen og komme med noget, der virkelig er avanceret.
