Видео: Солдатик молодой ИÑполнÑет Иван Разумов (Октября 2024)
Фраза «Продвинутая постоянная угроза» напоминает мне конкретный образ, группу преданных хакеров, неустанно копающихся для новых атак нулевого дня, пристального наблюдения за сетью жертв и бесшумного кражи данных или выполнения секретного саботажа. В конце концов, печально известному червю Stuxnet потребовалось несколько уязвимостей нулевого дня для достижения своей цели, а дополнительный ответ Stuxnet Duqu использовал по крайней мере одну. Тем не менее, новый отчет Imperva показывает, что можно осуществить такую атаку, используя гораздо менее изощренные средства.
Нога в дверь
В отчете подробно рассматриваются конкретные атаки, связанные с конфиденциальной информацией, хранящейся на серверах предприятия. Ключ на вынос это. Злоумышленники абсолютно не проводят атаку на сервер. Скорее, они ищут наименее безопасные устройства в сети, скомпрометируют их и постепенно превращают этот ограниченный доступ в необходимый уровень привилегий.
Первоначальная атака обычно начинается с изучения организации жертвы, которая ищет информацию, необходимую для создания целевого «фишингового» электронного письма. Как только один несчастный сотрудник или другой щелкает ссылку, плохие парни обретают первоначальную точку опоры.
Используя этот ограниченный доступ к сети, злоумышленники следят за трафиком, особенно ища соединения из привилегированных местоположений с скомпрометированной конечной точкой. Слабость в очень часто используемом протоколе аутентификации, называемом NTLM, может позволить им перехватывать пароли или хэши паролей и, таким образом, получать доступ к следующему местоположению в сети.
Кто-то отравил дыру в воде!
Еще один метод дальнейшего проникновения в сеть - использование акций корпоративных сетей. Организации очень часто передают информацию туда и обратно через эти сетевые ресурсы. Не предполагается, что некоторые акции содержат конфиденциальную информацию, поэтому они менее защищены. И так же, как все животные посещают водопой в джунглях, все посещают эти сетевые акции.
Злоумышленники «отравляют колодец», вставляя специально созданные ссылки быстрого доступа, которые вызывают связь с машинами, которые они уже взломали. Этот метод примерно такой же продвинутый, как написание командного файла. Есть функция Windows, которая позволяет вам назначить пользовательский значок для любой папки. Плохие парни просто используют значок, который находится на скомпрометированной машине. Когда папка открыта, Windows Explorer должен пойти, чтобы получить этот значок. Этого достаточно для соединения скомпрометированной машины через процесс аутентификации.
Рано или поздно злоумышленники получают контроль над системой, которая имеет доступ к целевой базе данных. В этот момент все, что им нужно сделать, это откачать данные и скрыть свои следы. Организация жертвы может никогда не узнать, что их поразило.
Что можно сделать?
Полный отчет на самом деле содержит гораздо больше подробностей, чем мое простое описание. Служащие безопасности наверняка захотят это прочитать. Ненудеи, которые хотят пройти мимо сложных вещей, все еще могут извлечь из этого уроки.
Один отличный способ остановить эту конкретную атаку - полностью прекратить использование протокола аутентификации NTLM и перейти на гораздо более безопасный протокол Kerberos. Проблемы обратной совместимости делают этот шаг крайне маловероятным.
Основная рекомендация отчета заключается в том, чтобы организации тщательно отслеживали сетевой трафик на предмет отклонений от нормального. Также предлагается ограничить ситуации, когда процессы с высокими привилегиями соединяются с конечными точками. Если достаточно большие сети предпримут шаги, чтобы заблокировать такого рода относительно простую атаку, злоумышленникам, возможно, придется смириться и придумать что-то действительно продвинутое.
