Casa Securitywatch Dopo tutto, le minacce persistenti avanzate non sono così avanzate

Dopo tutto, le minacce persistenti avanzate non sono così avanzate

Video: TreathSync - Tutta la forza della correlazione per la protezione contro le minacce avanzate (Novembre 2024)

Video: TreathSync - Tutta la forza della correlazione per la protezione contro le minacce avanzate (Novembre 2024)
Anonim

La frase "Advanced Persistent Threat" mi fa venire in mente un'immagine particolare, un gruppo di hacker devoti, che scavano instancabilmente per nuovi attacchi zero-day, monitorando da vicino la rete delle vittime e rubando silenziosamente dati o eseguendo sabotaggi segreti. Dopotutto, il famigerato worm Stuxnet aveva bisogno di più vulnerabilità zero-day per raggiungere il suo obiettivo, e lo spin-off di Stuxnet Duqu ne ha usato almeno uno. Tuttavia, un nuovo rapporto di Imperva rivela che è possibile attuare questo tipo di attacco usando mezzi molto meno sofisticati.

Un piede nella porta

Il rapporto fornisce dettagli seri su un particolare attacco che segue informazioni riservate archiviate sui server di un'azienda. L'asporto chiave è questo. Gli aggressori non montano assolutamente un attacco sul server. Piuttosto, cercano i dispositivi meno sicuri nella rete, li compromettono e pian piano condividono questo accesso limitato al livello di privilegio di cui hanno bisogno.

L'attacco iniziale in genere inizia con uno studio sull'organizzazione delle vittime, alla ricerca delle informazioni necessarie per creare un'e-mail mirata di "spear phishing". Una volta che un impiegato sfortunato o un altro fa clic sul collegamento, i cattivi hanno guadagnato un punto d'appoggio iniziale.

Utilizzando questo accesso limitato alla rete, gli aggressori tengono d'occhio il traffico, in particolare cercando connessioni da posizioni privilegiate all'endpoint compromesso. Una debolezza in un protocollo di autenticazione molto comunemente usato chiamato NTLM può consentire loro di acquisire password o hash di password, e quindi ottenere l'accesso al successivo percorso di rete.

Qualcuno ha avvelenato il pozzo d'acqua!

Un'altra tecnica per infiltrarsi ulteriormente nella rete prevede condivisioni di reti aziendali. È molto comune per le organizzazioni passare informazioni avanti e indietro attraverso queste condivisioni di rete. Alcune condivisioni non dovrebbero contenere informazioni riservate, quindi sono meno protette. E, proprio come tutti gli animali visitano la buca d'acqua della giungla, tutti visitano queste condivisioni di rete.

Gli aggressori "avvelenano il pozzo" inserendo collegamenti di scelta rapida appositamente predisposti che forzano la comunicazione con le macchine che hanno già compromesso. Questa tecnica è avanzata quanto la scrittura di un file batch. C'è una funzione di Windows che ti consente di assegnare un'icona personalizzata per qualsiasi cartella. I cattivi usano semplicemente un'icona che si trova sulla macchina compromessa. Quando la cartella è aperta, Windows Explorer deve andare a prendere quell'icona. È sufficiente una connessione per consentire all'attacco macchina compromesso tramite il processo di autenticazione.

Prima o poi, gli aggressori ottengono il controllo di un sistema che ha accesso al database di destinazione. A quel punto, tutto ciò che devono fare è estrarre i dati e coprire le loro tracce. L'organizzazione vittima potrebbe non sapere mai cosa li ha colpiti.

Cosa si può fare?

Il rapporto completo in realtà è molto più dettagliato della mia semplice descrizione. Gli esperti di sicurezza vorranno leggerlo, di sicuro. I non-soldati che sono disposti a sfogliare le cose difficili possono ancora imparare da essa.

Un ottimo modo per chiudere questo particolare attacco sarebbe smettere completamente di usare il protocollo di autenticazione NTLM e passare al protocollo Kerberos molto più sicuro. Tuttavia, i problemi di compatibilità con le versioni precedenti rendono questa mossa estremamente improbabile.

La principale raccomandazione del rapporto è che le organizzazioni monitorano attentamente il traffico di rete per deviazioni dalla norma. Suggerisce inoltre di limitare le situazioni in cui i processi ad alto privilegio si collegano agli endpoint. Se un numero sufficiente di reti di grandi dimensioni interviene per bloccare questo tipo di attacco relativamente semplice, gli aggressori potrebbero effettivamente essere costretti a scendere e trovare qualcosa di veramente avanzato.

Dopo tutto, le minacce persistenti avanzate non sono così avanzate