ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (九月 2024)
「Advanced Persistent Threat」というフレーズは、特定のイメージ、献身的なハッカーの仲間、新しいゼロデイ攻撃をたゆみなく掘り、被害者ネットワークを綿密に監視し、データを静かに盗んだり、秘密の妨害を実行したりするイメージを思い起こさせます。 結局のところ、悪名高いStuxnetワームは、目的を達成するために複数のゼロデイ脆弱性を必要とし、StuxnetのスピンオフDuquは少なくとも1つを使用しました。 ただし、Impervaからの新しいレポートでは、はるかに洗練されていない手段を使用してこの種の攻撃を実行できることが明らかになっています。
ドアの中の足
このレポートは、企業のサーバーに保存されている機密情報を追跡する特定の攻撃に関する深刻な詳細を示しています。 重要なポイントはこれです。 攻撃者は絶対にサーバーに攻撃を仕掛けることはありません。 むしろ、ネットワーク内で最も安全性の低いデバイスを検索して侵害し、この制限されたアクセスを必要な特権レベルに少しずつ置きます。
通常、最初の攻撃は、標的となる「スピアフィッシング」メールを作成するために必要な情報を探して、被害者の組織を調査することから始まります。 不幸な従業員または別の従業員がリンクをクリックすると、悪者たちは最初の足場を得ました。
ネットワークへのこの制限されたアクセスを使用して、攻撃者はトラフィックを監視し、特に特権のある場所から侵害されたエンドポイントへの接続を探します。 NTLMと呼ばれる非常に一般的に使用される認証プロトコルの弱点により、パスワードまたはパスワードハッシュをキャプチャできるため、次のネットワークロケーションにアクセスできます。
誰かが水の穴を毒した!
ネットワークにさらに侵入するための別の手法には、企業ネットワーク共有が含まれます。 組織がこれらのネットワーク共有を介して情報をやり取りすることは非常に一般的です。 一部の共有は機密情報を保持することが期待されていないため、保護されていません。 そして、すべての動物がジャングルの水場を訪れるように、誰もがこれらのネットワーク共有を訪れます。
攻撃者は、すでに侵害されたマシンとの通信を強制する特別に細工されたショートカットリンクを挿入することにより、「井戸を毒します」。 この手法は、バッチファイルの作成とほぼ同じくらい高度です。 任意のフォルダにカスタムアイコンを割り当てることができるWindows機能があります。 悪者は、侵入先のマシンにあるアイコンを使用するだけです。 フォルダーを開くと、Windowsエクスプローラーはそのアイコンを取得する必要があります。 これは、認証プロセスを介して侵害されたマシンを攻撃させるのに十分な接続です。
遅かれ早かれ、攻撃者はターゲットデータベースにアクセスできるシステムを制御できるようになります。 その時点で、彼らがする必要があるのは、データを吸い上げてトラックをカバーすることだけです。 被害者組織は、何が彼らを襲ったのか決して知ることができません。
何ができますか?
完全なレポートは、実際には私の簡単な説明よりもはるかに詳細になります。 セキュリティワンクは、確かにそれを読みたいと思うでしょう。 ハードなものをすり抜けようとする非ウォンクは、それからまだ学ぶことができます。
この特定の攻撃をシャットダウンする1つの優れた方法は、NTLM認証プロトコルの使用を完全に停止し、より安全なKerberosプロトコルに切り替えることです。 ただし、後方互換性の問題により、この動きはほとんどありません。
レポートの主な推奨事項は、組織がネットワークトラフィックを通常からの逸脱について綿密に監視することです。 また、特権の高いプロセスがエンドポイントに接続する状況を制限することも提案しています。 この種の比較的単純な攻撃をブロックするために十分な大規模なネットワークが措置を講じる場合、攻撃者は実際に動きを止めて真に高度なものを考え出す必要があります。
