วีดีโอ: สาวไต้หวันตีà¸à¸¥à¸à¸‡à¸Šà¸¸à¸” What I've Done Blue 1 (ธันวาคม 2024)
วลี "ภัยคุกคามขั้นสูงต่อเนื่อง" ทำให้ผมนึกถึงภาพหนึ่งกลุ่มแฮกเกอร์ที่อุทิศตนขุดหาการโจมตีแบบ zero-day ใหม่อย่างไม่รู้จักเหน็ดเหนื่อยตรวจสอบเครือข่ายเหยื่ออย่างใกล้ชิดและขโมยข้อมูลหรือทำการก่อวินาศกรรมอย่างเงียบ ๆ ท้ายที่สุดแล้วหนอน Stuxnet ที่น่าอับอายก็ต้องการช่องโหว่หลายจุดในหนึ่งวันเพื่อให้บรรลุเป้าหมายและ Stuxnet spinoff Duqu ก็ใช้อย่างน้อยหนึ่งตัว อย่างไรก็ตามรายงานใหม่จาก Imperva เปิดเผยว่ามีความเป็นไปได้ที่จะดึงการโจมตีประเภทนี้ออกมาโดยใช้วิธีการที่ซับซ้อนน้อยกว่ามาก
เท้าในประตู
รายงานดังกล่าวมีรายละเอียดที่สำคัญเกี่ยวกับการโจมตีเฉพาะที่เกิดขึ้นหลังจากเก็บข้อมูลลับบนเซิร์ฟเวอร์ขององค์กร ประเด็นสำคัญคือ ผู้โจมตีไม่ติดการโจมตีบนเซิร์ฟเวอร์อย่างแน่นอน แต่พวกเขาค้นหาอุปกรณ์ที่มีความปลอดภัยน้อยที่สุดในเครือข่ายประนีประนอมและแบ่งการเข้าถึงที่ จำกัด ในระดับสิทธิ์ที่ต้องการ
การโจมตีเริ่มต้นมักจะเริ่มต้นด้วยการศึกษาขององค์กรเหยื่อค้นหาข้อมูลที่จำเป็นในการสร้างอีเมล "หอกฟิชชิ่ง" เป้าหมาย เมื่อพนักงานคนหนึ่งที่โชคร้ายหรือคลิกลิงค์อีกครั้งคนร้ายได้รับการตั้งหลัก
เมื่อใช้การเข้าถึงเครือข่ายแบบ จำกัด ผู้โจมตีจะคอยจับตาดูทราฟฟิกโดยเฉพาะการค้นหาการเชื่อมต่อจากที่ตั้งที่มีสิทธิพิเศษไปยังปลายทางที่ถูกบุกรุก จุดอ่อนในโปรโตคอลการตรวจสอบความถูกต้องที่ใช้กันทั่วไปที่เรียกว่า NTLM ช่วยให้พวกเขาสามารถจับรหัสผ่านหรือแฮ็ชรหัสผ่านและเข้าถึงเครือข่ายตำแหน่งถัดไปได้
ใครบางคนวางยาพิษในหลุมน้ำ!
อีกเทคนิคหนึ่งสำหรับการแทรกซึมเครือข่ายเพิ่มเติมเป็นการแชร์เครือข่ายขององค์กร เป็นเรื่องปกติมากที่องค์กรต่างๆจะส่งผ่านข้อมูลไปมาผ่านเครือข่ายเหล่านี้ การแชร์บางรายการไม่คาดว่าจะเก็บข้อมูลที่ละเอียดอ่อนดังนั้นจึงป้องกันน้อยลง และเช่นเดียวกับสัตว์ทุกตัวที่ไปเยี่ยมชมหลุมน้ำในป่าทุกคนเข้าเยี่ยมชมเครือข่ายเหล่านี้
ผู้โจมตี "วางยาพิษอย่างดี" ด้วยการแทรกลิงค์ช็อตคัทที่ออกแบบมาเป็นพิเศษซึ่งบังคับให้มีการสื่อสารกับเครื่องที่พวกเขาเคยโจมตีแล้ว เทคนิคนี้เกี่ยวกับขั้นสูงเท่ากับการเขียนไฟล์แบตช์ มีคุณสมบัติ Windows ที่ให้คุณกำหนดไอคอนที่กำหนดเองสำหรับโฟลเดอร์ใด ๆ คนเลวใช้ไอคอนที่อยู่บนเครื่องที่ถูกบุกรุก เมื่อเปิดโฟลเดอร์ Windows Explorer จะต้องไปที่ไอคอนนั้น มีการเชื่อมต่อเพียงพอที่จะทำให้เครื่องถูกโจมตีผ่านกระบวนการตรวจสอบสิทธิ์
ไม่ช้าก็เร็วผู้โจมตีสามารถควบคุมระบบที่เข้าถึงฐานข้อมูลเป้าหมายได้ ณ จุดนั้นสิ่งที่พวกเขาต้องทำคือการดูดข้อมูลออกและครอบคลุมเส้นทางของพวกเขา องค์กรเหยื่ออาจไม่เคยรู้ว่าสิ่งที่พวกเขาตี
สิ่งที่สามารถทำได้
รายงานฉบับเต็มจริงเข้าไปในรายละเอียดมากกว่าคำอธิบายง่ายๆของฉัน ระบบความปลอดภัยจะต้องการอ่านแน่นอน ผู้ที่ไม่ยอมแพ้ซึ่งเต็มใจที่จะอ่านผ่านสิ่งที่ยากยังสามารถเรียนรู้จากมันได้
วิธีที่ยอดเยี่ยมวิธีหนึ่งในการปิดการโจมตีนี้โดยเฉพาะคือหยุดใช้โพรโทคอลการรับรองความถูกต้อง NTLM ทั้งหมดและเปลี่ยนเป็นโปรโตคอล Kerberos ที่ปลอดภัยยิ่งขึ้น ปัญหาความเข้ากันได้ย้อนหลังทำให้การย้ายนี้ไม่น่าเป็นไปได้อย่างมาก
คำแนะนำหลักของรายงานคือองค์กรต่าง ๆ ติดตามการรับส่งข้อมูลเครือข่ายอย่างใกล้ชิดจากความเบี่ยงเบนปกติ นอกจากนี้ยังแนะนำการ จำกัด สถานการณ์ที่กระบวนการสิทธิสูงเชื่อมต่อกับจุดปลาย หากเครือข่ายขนาดใหญ่เพียงพอที่จะดำเนินการเพื่อป้องกันการโจมตีที่ค่อนข้างง่ายผู้โจมตีอาจจะต้องล้มตัวลงและสร้างสิ่งที่ก้าวหน้าอย่างแท้จริง