Video: Begrotingstekort, financieringstekort, staatsschuld (economie uitleg) (November 2024)
De uitdrukking "Advanced Persistent Threat" doet me denken aan een bepaald beeld, een kader van toegewijde hackers, onvermoeibaar op zoek naar nieuwe zero-day-aanvallen, het slachtoffernetwerk nauwlettend in de gaten houden, en stilletjes gegevens stelen of geheime sabotage uitvoeren. De beruchte Stuxnet-worm had immers meerdere zero-day kwetsbaarheden nodig om zijn doel te bereiken, en de Stuxnet-spin-off Duqu gebruikte er minstens één. Uit een nieuw rapport van Imperva blijkt echter dat het mogelijk is dit soort aanvallen uit te voeren met veel minder geavanceerde middelen.
Een voet in de deur
Het rapport gaat gedetailleerd in op een bepaalde aanval die volgt op vertrouwelijke informatie die is opgeslagen op de servers van een onderneming. Het belangrijkste is dit. Aanvallers activeren absoluut geen aanval op de server. In plaats daarvan zoeken ze naar de minst veilige apparaten in het netwerk, brengen ze een compromis aan en stellen deze beperkte toegang beetje bij beetje in het privilege-niveau dat ze nodig hebben.
De aanvankelijke aanval begint meestal met een studie van de slachtofferorganisatie, op zoek naar de informatie die nodig is om een gerichte "spear phishing" e-mail op te stellen. Zodra de ene ongelukkige werknemer of een andere op de link klikt, hebben de slechteriken een eerste voet aan de grond gekregen.
Met behulp van deze beperkte toegang tot het netwerk houden de aanvallers het verkeer in de gaten, in het bijzonder op zoek naar verbindingen van bevoorrechte locaties naar het gecompromitteerde eindpunt. Een zwakke plek in een veelgebruikt authenticatieprotocol met de naam NTLM kan hen in staat stellen wachtwoorden of wachtwoordhashes vast te leggen en zo toegang te krijgen tot de volgende netwerklocatie.
Iemand heeft het watergat vergiftigd!
Een andere techniek voor het verder infiltreren van het netwerk omvat aandelen van bedrijfsnetwerken. Het is heel gebruikelijk dat organisaties informatie via deze netwerkshares heen en weer doorgeven. Van sommige aandelen wordt niet verwacht dat ze gevoelige informatie bevatten, dus ze zijn minder beschermd. En net zoals alle dieren het jungle-watergat bezoeken, bezoekt iedereen deze netwerkshares.
Aanvallers 'vergiftigen de put' door speciaal vervaardigde snelkoppelingen in te voegen die de communicatie met de machines die ze al hebben gecompromitteerd forceren. Deze techniek is ongeveer net zo geavanceerd als het schrijven van een batchbestand. Er is een Windows-functie waarmee u een aangepast pictogram voor elke map kunt toewijzen. De slechteriken gebruiken gewoon een pictogram dat zich op de gecompromitteerde machine bevindt. Wanneer de map wordt geopend, moet Windows Explorer dat pictogram ophalen. Dat is voldoende verbinding om de gecompromitteerde machine via het authenticatieproces te laten aanvallen.
Vroeg of laat krijgen de aanvallers controle over een systeem dat toegang heeft tot de doeldatabase. Op dat moment hoeven ze alleen nog maar de gegevens over te hevelen en hun sporen af te leggen. De slachtofferorganisatie weet misschien nooit wat hen overkomt.
Wat gedaan kan worden?
Het volledige rapport gaat eigenlijk veel gedetailleerder in dan mijn eenvoudige beschrijving. Security wonks zullen het zeker willen lezen. Niet-wonks die bereid zijn voorbij het harde spul te scheren, kunnen er nog steeds van leren.
Een geweldige manier om deze specifieke aanval af te sluiten, is om volledig te stoppen met het gebruik van het NTLM-authenticatieprotocol en over te schakelen naar het veel veiligere Kerberos-protocol. Achterwaartse compatibiliteitsproblemen maken deze stap echter zeer onwaarschijnlijk.
De belangrijkste aanbeveling van het rapport is dat organisaties het netwerkverkeer nauwlettend in de gaten houden op afwijkingen van het normale. Het suggereert ook beperkende situaties waarin high-privilege-processen verbinding maken met eindpunten. Als er voldoende grote netwerken stappen ondernemen om dit soort relatief eenvoudige aanvallen te blokkeren, moeten de aanvallers zich misschien vastgrijpen en met iets echt geavanceerd komen.
