Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Листопад 2024)
Фраза «Прогресивна наполеглива загроза» приносить мені на думку конкретний образ, кадр відданих хакерів, невтомно копаючи нові атаки з нульовими днями, уважно стежать за мережею жертв і мовчки крадуть дані або здійснюють таємні диверсії. Зрештою, сумнозвісному черв'яку Stuxnet для досягнення своєї мети було потрібне кілька вразливих нульових днів, а Stuxnet Spinoff Duqu використовував щонайменше одну. Однак новий звіт Imperva показує, що можна зняти такий напад, використовуючи набагато менш складні засоби.
Нога у двері
У звіті йдеться про серйозні деталі щодо конкретної атаки, яка триває після конфіденційної інформації, що зберігається на серверах Enterprise. Ключовий висновок - це. Зловмисники абсолютно не влаштовують атаку на сервер. Швидше вони шукають найменш захищені пристрої в мережі, компрометують їх і потроху говорять про цей обмежений доступ до необхідного рівня привілеїв.
Початкова атака, як правило, починається з дослідження організації жертви, пошуку інформації, необхідної для створення цільового електронного листа "списаного фішингу". Як тільки один нещасний працівник або інший натискає на посилання, погані хлопці здобули початкове місце.
Використовуючи цей обмежений доступ до мережі, зловмисники стежать за трафіком, спеціально шукаючи з'єднання з привілейованих місць до порушеної кінцевої точки. Слабкість у дуже часто використовуваному протоколі аутентифікації, який називається NTLM, може дозволяти їм захоплювати паролі або хеші паролів і тим самим отримувати доступ до наступного розташування мережі.
Хтось отруївся отвором для води!
Ще одна методика подальшого проникнення в мережу передбачає акції корпоративних мереж. Організаціям дуже часто передавати інформацію назад і назад через ці мережеві спільні мережі. Не очікується, що деякі акції містять конфіденційну інформацію, тому вони менш захищені. І так само, як усі тварини відвідують отвір води в джунглях, всі відвідують ці акції мережі.
Зловмисники "отруюють колодязь", вставляючи спеціально створені ярлики, що змушують спілкуватися з машинами, якими вони вже порушені. Ця методика настільки ж вдосконалена, як і написання пакетного файлу. Існує функція Windows, яка дозволяє призначити власну піктограму для будь-якої папки. Погані хлопці просто використовують піктограму, яка знаходиться на компрометованій машині. Після відкриття папки Windows Explorer повинен перейти до цього значка. Цього достатньо для з'єднання, щоб дозволити компрометованій машині атакувати через процес аутентифікації.
Рано чи пізно зловмисники отримують контроль над системою, яка має доступ до цільової бази даних. У цей момент все, що їм потрібно зробити, - це розшифрувати дані та прикрити свої сліди. Організація жертв може ніколи не знати, що їх вдарило.
Що можна зробити?
Повний звіт насправді детально описується, ніж мій простий опис. Безпека виграшів захоче прочитати це точно. Непереможці, які готові пройти повз важких речей, все ще можуть навчитися на цьому.
Один чудовий спосіб закрити цю конкретну атаку - це повністю припинити використання протоколу аутентифікації NTLM та перейти на набагато більш безпечний протокол Kerberos. Проблеми із зворотною сумісністю роблять цей крок надзвичайно малоймовірним.
Основна рекомендація звіту полягає в тому, щоб організації уважно стежили за мережевим трафіком на предмет відхилень від норми. Він також пропонує обмежити ситуації, коли процеси з високими привілеями з'єднуються з кінцевими точками. Якщо достатньо великих мереж вживають заходів для блокування подібного відносно простого нападу, зловмисникам, можливо, доведеться наслідувати і придумати щось справді просунуте.