Video: Chiến dá»ch thất bại của quân Äá»i Australia trÆ°á»c Äà n Äà Äiá»u nÄm 1932 (Tháng Chín 2024)
Cụm từ "Mối đe dọa liên tục nâng cao" mang đến cho tôi một hình ảnh cụ thể, một cán bộ tin tặc tận tụy, đào bới không mệt mỏi cho các cuộc tấn công 0 ngày mới, theo dõi chặt chẽ mạng lưới nạn nhân và âm thầm đánh cắp dữ liệu hoặc thực hiện phá hoại bí mật. Rốt cuộc, con sâu Stuxnet khét tiếng cần nhiều lỗ hổng zero-day để hoàn thành mục tiêu của nó và Duqu spinoff Stuxnet đã sử dụng ít nhất một. Tuy nhiên, một báo cáo mới từ Imperva tiết lộ rằng có thể loại bỏ kiểu tấn công này bằng các phương tiện ít phức tạp hơn nhiều.
Một chân trong cửa
Báo cáo đi sâu vào chi tiết nghiêm trọng về một cuộc tấn công cụ thể diễn ra sau thông tin bí mật được lưu trữ trên máy chủ của Doanh nghiệp. Điểm quan trọng là đây. Những kẻ tấn công tuyệt đối không gắn kết một cuộc tấn công vào máy chủ. Thay vào đó, họ tìm kiếm các thiết bị kém an toàn nhất trong mạng, thỏa hiệp chúng và từng chút một cho phép truy cập hạn chế này vào cấp đặc quyền mà họ cần.
Cuộc tấn công ban đầu thường bắt đầu bằng một nghiên cứu về tổ chức nạn nhân, tìm kiếm thông tin cần thiết để tạo một email "spear phishing" được nhắm mục tiêu. Một khi một nhân viên không may hoặc một người khác nhấp vào liên kết, những kẻ xấu đã có được chỗ đứng ban đầu.
Sử dụng quyền truy cập hạn chế vào mạng này, những kẻ tấn công để mắt đến giao thông, đặc biệt là tìm kiếm các kết nối từ các vị trí đặc quyền đến điểm cuối bị xâm phạm. Một điểm yếu trong giao thức xác thực được sử dụng rất phổ biến được gọi là NTLM có thể cho phép họ nắm bắt mật khẩu hoặc băm mật khẩu và từ đó có quyền truy cập vào vị trí mạng tiếp theo.
Ai đó đã đầu độc hố nước!
Một kỹ thuật khác để tiếp tục thâm nhập vào mạng liên quan đến chia sẻ mạng công ty. Việc các tổ chức truyền thông tin qua lại thông qua các chia sẻ mạng này là điều rất phổ biến. Một số cổ phiếu không mong muốn giữ thông tin nhạy cảm, vì vậy chúng ít được bảo vệ hơn. Và, giống như tất cả các loài động vật đến thăm hố nước trong rừng, mọi người đều ghé thăm các mạng này.
Những kẻ tấn công "đầu độc giếng" bằng cách chèn các liên kết phím tắt được chế tạo đặc biệt để buộc liên lạc với các máy mà chúng đã bị xâm phạm. Kỹ thuật này là về nâng cao như viết một tập tin bó. Có một tính năng Windows cho phép bạn gán biểu tượng tùy chỉnh cho bất kỳ thư mục nào. Kẻ xấu chỉ cần sử dụng một biểu tượng nằm trên máy bị xâm nhập. Khi thư mục được mở, Windows Explorer phải lấy biểu tượng đó. Đó là đủ kết nối để cho máy bị xâm nhập tấn công thông qua quá trình xác thực.
Sớm hay muộn, những kẻ tấn công giành quyền kiểm soát một hệ thống có quyền truy cập vào cơ sở dữ liệu đích. Tại thời điểm đó, tất cả những gì họ cần làm là rút dữ liệu và che dấu vết của họ. Tổ chức nạn nhân có thể không bao giờ biết những gì đánh họ.
Những gì có thể được thực hiện?
Báo cáo đầy đủ thực sự đi sâu vào chi tiết hơn nhiều so với mô tả đơn giản của tôi. Chắc chắn wonks sẽ muốn đọc nó, chắc chắn. Những người không giành chiến thắng, những người sẵn sàng lướt qua những thứ khó khăn vẫn có thể học hỏi từ nó.
Một cách tuyệt vời để tắt cuộc tấn công cụ thể này là ngừng hoàn toàn sử dụng giao thức xác thực NTLM và chuyển sang giao thức Kerberos an toàn hơn nhiều. Các vấn đề tương thích ngược làm cho di chuyển này rất khó xảy ra, mặc dù.
Khuyến cáo chính của báo cáo là các tổ chức giám sát chặt chẽ lưu lượng mạng đối với các sai lệch so với bình thường. Nó cũng gợi ý hạn chế các tình huống trong đó các quy trình đặc quyền cao kết nối với các điểm cuối. Nếu đủ các mạng lớn thực hiện các bước để chặn loại tấn công tương đối đơn giản này, những kẻ tấn công thực sự có thể phải khóa xuống và đưa ra một cái gì đó thực sự tiên tiến.
