Video: Hvordan Star Wars: Den Skjulte Trussel Burde Ha Sluttet (Oktober 2024)
Uttrykket "Advanced Persistent Threat" bringer for meg tankene et bestemt bilde, en kadaver av hengivne hackere, utrettelig graver etter nye nulldagers angrep, overvåker nøye offernettverket og stiller lydløst data eller utfører hemmelig sabotasje. Tross alt trengte den beryktede Stuxnet-ormen flere sårbarheter på null dager for å oppnå målet sitt, og Stuxnet spinoff Duqu brukte minst en. Imidlertid avslører en ny rapport fra Imperva at det er mulig å trekke av denne typen angrep med mye mindre sofistikerte midler.
En fot i døra
Rapporten går inn i alvorlige detaljer om et bestemt angrep som går etter konfidensiell informasjon som er lagret på et Enterprise-servere. Det viktigste takeaway er dette. Angripere har absolutt ikke et angrep på serveren. Snarere søker de etter de minst sikre enhetene i nettverket, går på akkord med dem, og par etter litt begrenser tilgangen til det privilegiumnivået de trenger.
Det første angrepet begynner vanligvis med en studie av offerorganisasjonen, og søker den informasjonen som er nødvendig for å lage en målrettet "spyd phishing" e-post. Når en eller annen ulykkes ansatt klikker på lenken, har skurkene fått et første fotfeste.
Ved å bruke denne begrensede tilgangen til nettverket, holder angriperne øye med trafikken, spesielt på jakt etter forbindelser fra privilegerte steder til det kompromitterte sluttpunktet. En svakhet i en veldig ofte brukt autentiseringsprotokoll kalt NTLM kan tillate dem å fange passord, eller passord hashes, og dermed få tilgang til neste nettverksplassering.
Noen har giftet vannhullet!
En annen teknikk for ytterligere infiltrering av nettverket innebærer aksjer i bedriftsnettverk. Det er veldig vanlig at organisasjoner gir informasjon frem og tilbake gjennom disse nettverksandeler. Noen aksjer forventes ikke å ha sensitiv informasjon, så de er mindre beskyttet. Og akkurat som alle dyrene besøker jungelen vannhull, besøker alle disse nettverksandeler.
Angriperne "forgifrer brønnen" ved å sette inn spesiallagde snarveikoblinger som tvinger kommunikasjon med maskinene de allerede har kompromittert. Denne teknikken er omtrent så avansert som å skrive en batchfil. Det er en Windows-funksjon som lar deg tilordne et tilpasset ikon for en hvilken som helst mappe. Skurkene bruker ganske enkelt et ikon som ligger på den kompromitterte maskinen. Når mappen åpnes, må Windows Utforsker få det ikonet. Det er nok av en forbindelse til å la den kompromitterte maskinen angripe via autentiseringsprosessen.
Før eller senere får angriperne kontroll over et system som har tilgang til måldatabasen. På det tidspunktet, alt de trenger å gjøre er å sifre ut dataene og dekke sporene deres. Offerorganisasjonen vet kanskje aldri hva som rammet dem.
Hva kan bli gjort?
Hele rapporten går faktisk langt mer detaljert enn min enkle beskrivelse. Sikkerhetsvinner vil sikkert lese den. Ikke-vinnere som er villige til å skumme forbi de harde tingene, kan fortsatt lære av det.
En flott måte å slå av nettopp dette angrepet ville være å helt slutte å bruke NTLM-godkjenningsprotokollen og bytte til den mye sikrere Kerberos-protokollen. Problemer med bakoverkompatibilitet gjør dette trekket svært usannsynlig.
Rapportens hovedanbefaling er at organisasjoner nøye overvåker nettverkstrafikk for avvik fra det normale. Det foreslår også begrensende situasjoner der prosesser med høyt privilegium kobles til endepunkter. Hvis nok store nettverk tar skritt for å blokkere denne typen relativt enkle angrep, kan angriperne faktisk bli nødt til å spenne seg sammen og komme med noe virkelig avansert.
