对一次高级持续攻击威胁的剖析
发布时间:2014-08-13 15:58:18作者:知识屋
有消息刚刚透露:Acme公司已完成一项对Landmark公司的战略性收购,关于此次收购的所有详情俩家公司均不发一言。如果收购进行下去,对于Acme最强劲的竞争对手来说无疑是个坏消息,其由此将肯定会失去明显的市场优势。
那家竞争对手决定去做当今许多家公司在需要获得信息时都会做的事 – 通过电子方式去窃取信息。这家公司和一名黑帽签订了协议,而这名受雇黑客现在有三个目标:尽可能发现更多的有关Lankmark的收购信息;尽可能窃取更多的竞争信息;以及最后一点:当然是别被抓住了。
我们这位恶毒的攻击者首先打算:找到可提供进入Acme公司IT系统入口的目标。多亏有像Twitter, Facebook, LinkedIn等这样具有魔力的社交网络站点,为黑客提供了前所未有的便利。于是我们这位攻击者开始在线打窝钓鱼,寻找任何可能有用的人和信息。
幸运的是,(对Acme公司而言或许是不幸),在LinkedIn上没怎么搜索就发现了Keith,一位Acme公司安全分析师。Keith很喜欢发微博,一直喋喋不休关于他从黑帽回家后在家和孩子在一起的事情,这周末打算看什么电影,以及他对于Landmark收购一事的兴奋。
The Attack Acme Can’t Stop
这一切为这位黑客建立起完成任务的第一个方法。一个熟悉的社交工程手法,利用Keith自己发布的关于自身的信息:“你好Keith,曾和你在黑帽共事我感到很开心。我想加你为我的LinkedIn网络好友”短信只需这么写一下一切就OK了。
那不是一封真正的LinkedIn电子邮件;而是一封特别做过手脚的电子邮件。当Keith点击那封假的LinkedIn邀请时,一个恶意软件已经在他的PC机上安装了,使黑客获得了他的工作站的全部访问权限以及他的网络资格。更不幸的是,Keith对此毫无察觉,而攻击者现在正在使用他的访问权限攻击他本应该帮助维持安全的网络。
因此现在我们这位攻击者,依托新发现的立足点,就可释放其全部枪炮火力,去挖掘任何有关Landmark收购的信息,和任何其它可能有用的竞争信息:
· 他可对该台受入侵的工作站进行屏幕截图,以确定恶意软件已成功部署在他的目标内。
· 他可从中检索存储的口令以备日后使用。
· 他可运行一个软件清单程序,获悉这台遭侵入的机器上所有的应用。
· 他可安装键盘记录器和网络嗅探器以捕获用户口令和其它活动,然后对它们进行检索。
在经过这些趣事后,我们这位攻击者现在又开始搜寻Keith当前的联系人清单,标出了几位VIP人物。他捕获了Keith当前的加密的用户名和口令,现在他可通过这些偷来的资格直接进入另外的服务器并立即访问,甚至不需要解密或破解口令。牢记着自己的任务,这位攻击者随后打开了一个到Keith计算机的shell提示,试图发现他的计算机是否映射到某个网络驱动器上。
这位攻击者很幸运,他发现Keith的系统当前与网络驱动器相连。这件事需要Keith的系统能对端口进行扫描。通过扫描,这位攻击者将识别出可用端口,在系统上运行系统服务,并探查出网络分段。现在有了一张网络地图在手,这位攻击者来到先前在Keith的联系人清单中标识出的某个VIP处:Norman Devries,ACME公司CEO。Devries无疑是可以访问收购数据的。我们的这位攻击者无需比之前多做什么,给这位CEO发过去一封电子邮件即可 – 这位CEO也点击了一个他不该点击的链接。一旦该行动完成,这位攻击者就可访问Landmark收购详情了(5300万美元),以及产品集成计划、即将发动的新服务,和公司许多其它秘密。他之所以能做到这些是因为他能够站在Norman的资格鉴定之上。
Rising APT Threats
再不久以前,像这样只在小说事件中有所描述的的攻击还一直被认为是异常或罕见的。想想极光行动攻击,该攻击就采用了一些我们在上面曾谈及的手段。除了Google公司,极光行动的攻击对象还涉及许多公司,如Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Gruman 和Dow Chemical。
有趣的是,绝大多数的攻击也揭示出在大多数黑客攻击被发现之前很久,企业手中就已拥有阻止或至少减缓风险发生的数据。来看看Verizon Business 2010数据泄露调查报告:调查发现86%的数据泄露受害者在他们的审计日志中有泄露证据,61%的受害者自己并未发现泄露事件 – 他们是被第三方告知才获悉的。这是多么窘迫的局面啊。
Defending Against the Modern Attackers
如何在审计日志中组织所有那些数据?并且更重要的是,如何阻止发生在Acme身上那样的攻击?首先:确保捕获可能详细记录网络上安全事件的那些数据。你可能拥有比你所认识到的多得多的安全数据分散在遍及防火墙、应用、、和其它的日志资源中。大多数企业都拥有庞大的数据,可用于确定哪些类事情正在他们的网络内发生。问题是他们不知道如何汇聚这些数据并将这些数据用于采取相应行动。
这个问题引出了下一点:你需要准备好处理流程和可能需要的必要技术来耕耘你的安全日志并准确定位出保持基础设施安全所需要的信息。这些努力绝对是需要某些类型的日志管理的。更好的办法是安装一套安全信息事件管理器(SIEM)来捕获并关联数据。采取更进一步的措施,将那些数据与身份和访问信息集成也是十分紧要的。那样的话,在我们的黑客事例中,早在任何私有数据被访问之前就会发出很多警报提醒安全经理。
在了解安全威胁已变得越发险恶的同时,记住安全防御措施也已变得愈加强大也是十分重要的。关键是要采取必要的措施来保护基础设施和数据的安全。而这也是大多数企业所缺乏的。而错误的代价将会变得日益高昂
那家竞争对手决定去做当今许多家公司在需要获得信息时都会做的事 – 通过电子方式去窃取信息。这家公司和一名黑帽签订了协议,而这名受雇黑客现在有三个目标:尽可能发现更多的有关Lankmark的收购信息;尽可能窃取更多的竞争信息;以及最后一点:当然是别被抓住了。
我们这位恶毒的攻击者首先打算:找到可提供进入Acme公司IT系统入口的目标。多亏有像Twitter, Facebook, LinkedIn等这样具有魔力的社交网络站点,为黑客提供了前所未有的便利。于是我们这位攻击者开始在线打窝钓鱼,寻找任何可能有用的人和信息。
幸运的是,(对Acme公司而言或许是不幸),在LinkedIn上没怎么搜索就发现了Keith,一位Acme公司安全分析师。Keith很喜欢发微博,一直喋喋不休关于他从黑帽回家后在家和孩子在一起的事情,这周末打算看什么电影,以及他对于Landmark收购一事的兴奋。
The Attack Acme Can’t Stop
这一切为这位黑客建立起完成任务的第一个方法。一个熟悉的社交工程手法,利用Keith自己发布的关于自身的信息:“你好Keith,曾和你在黑帽共事我感到很开心。我想加你为我的LinkedIn网络好友”短信只需这么写一下一切就OK了。
那不是一封真正的LinkedIn电子邮件;而是一封特别做过手脚的电子邮件。当Keith点击那封假的LinkedIn邀请时,一个恶意软件已经在他的PC机上安装了,使黑客获得了他的工作站的全部访问权限以及他的网络资格。更不幸的是,Keith对此毫无察觉,而攻击者现在正在使用他的访问权限攻击他本应该帮助维持安全的网络。
因此现在我们这位攻击者,依托新发现的立足点,就可释放其全部枪炮火力,去挖掘任何有关Landmark收购的信息,和任何其它可能有用的竞争信息:
· 他可对该台受入侵的工作站进行屏幕截图,以确定恶意软件已成功部署在他的目标内。
· 他可从中检索存储的口令以备日后使用。
· 他可运行一个软件清单程序,获悉这台遭侵入的机器上所有的应用。
· 他可安装键盘记录器和网络嗅探器以捕获用户口令和其它活动,然后对它们进行检索。
在经过这些趣事后,我们这位攻击者现在又开始搜寻Keith当前的联系人清单,标出了几位VIP人物。他捕获了Keith当前的加密的用户名和口令,现在他可通过这些偷来的资格直接进入另外的服务器并立即访问,甚至不需要解密或破解口令。牢记着自己的任务,这位攻击者随后打开了一个到Keith计算机的shell提示,试图发现他的计算机是否映射到某个网络驱动器上。
这位攻击者很幸运,他发现Keith的系统当前与网络驱动器相连。这件事需要Keith的系统能对端口进行扫描。通过扫描,这位攻击者将识别出可用端口,在系统上运行系统服务,并探查出网络分段。现在有了一张网络地图在手,这位攻击者来到先前在Keith的联系人清单中标识出的某个VIP处:Norman Devries,ACME公司CEO。Devries无疑是可以访问收购数据的。我们的这位攻击者无需比之前多做什么,给这位CEO发过去一封电子邮件即可 – 这位CEO也点击了一个他不该点击的链接。一旦该行动完成,这位攻击者就可访问Landmark收购详情了(5300万美元),以及产品集成计划、即将发动的新服务,和公司许多其它秘密。他之所以能做到这些是因为他能够站在Norman的资格鉴定之上。
Rising APT Threats
再不久以前,像这样只在小说事件中有所描述的的攻击还一直被认为是异常或罕见的。想想极光行动攻击,该攻击就采用了一些我们在上面曾谈及的手段。除了Google公司,极光行动的攻击对象还涉及许多公司,如Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Gruman 和Dow Chemical。
有趣的是,绝大多数的攻击也揭示出在大多数黑客攻击被发现之前很久,企业手中就已拥有阻止或至少减缓风险发生的数据。来看看Verizon Business 2010数据泄露调查报告:调查发现86%的数据泄露受害者在他们的审计日志中有泄露证据,61%的受害者自己并未发现泄露事件 – 他们是被第三方告知才获悉的。这是多么窘迫的局面啊。
Defending Against the Modern Attackers
如何在审计日志中组织所有那些数据?并且更重要的是,如何阻止发生在Acme身上那样的攻击?首先:确保捕获可能详细记录网络上安全事件的那些数据。你可能拥有比你所认识到的多得多的安全数据分散在遍及防火墙、应用、、和其它的日志资源中。大多数企业都拥有庞大的数据,可用于确定哪些类事情正在他们的网络内发生。问题是他们不知道如何汇聚这些数据并将这些数据用于采取相应行动。
这个问题引出了下一点:你需要准备好处理流程和可能需要的必要技术来耕耘你的安全日志并准确定位出保持基础设施安全所需要的信息。这些努力绝对是需要某些类型的日志管理的。更好的办法是安装一套安全信息事件管理器(SIEM)来捕获并关联数据。采取更进一步的措施,将那些数据与身份和访问信息集成也是十分紧要的。那样的话,在我们的黑客事例中,早在任何私有数据被访问之前就会发出很多警报提醒安全经理。
在了解安全威胁已变得越发险恶的同时,记住安全防御措施也已变得愈加强大也是十分重要的。关键是要采取必要的措施来保护基础设施和数据的安全。而这也是大多数企业所缺乏的。而错误的代价将会变得日益高昂
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
知识阅读
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
