Vídeo: Beth Shak: Poker Hotty - NY Ink (Setembre 2024)
La frase "Amenaça persistent avançada" em ve al cap una imatge en concret, un quadre de pirates informàtics dedicats, que excaven incansablement per nous atacs de zero dies, vigilen de prop la xarxa de víctimes i roben silenciosament dades o realitzen sabotatges secrets. Al cap i a la fi, el fam de Stuxnet va necessitar múltiples vulnerabilitats per a un dia zero per assolir el seu objectiu, i el Duqu de Stuxnet en va utilitzar almenys un. Tot i això, un nou informe d’Imperva revela que és possible atacar aquest tipus d’atac mitjançant mitjans molt menys sofisticats.
Un peu a la porta
L’informe aprofundeix en un detall detallat sobre un atac particular que es fa després de la informació confidencial emmagatzemada als servidors d’una empresa. El menjar per emportar-lo és clau. Els atacants no realitzen cap atac al servidor. Més aviat busquen els dispositius menys segurs de la xarxa, els comprometen i, a poc a poc, es reprodueixen aquest accés limitat al nivell de privilegi que necessiten.
L’atac inicial comença normalment amb un estudi de l’organització de víctimes, buscant la informació necessària per elaborar un correu electrònic dirigit a un “llançament de phishing”. Una vegada que un empleat desgraciat o un altre fa clic a l'enllaç, els dolents han aconseguit un peu inicial.
Amb aquest limitat accés a la xarxa, els atacants vetllen pel trànsit, buscant específicament connexions des de llocs privilegiats fins al punt final compromès. Una debilitat en un protocol d’autenticació molt utilitzat anomenat NTLM els pot permetre capturar contrasenyes o hashes de contrasenya i, així, accedir a la següent ubicació de xarxa.
Algú ha enverinat el forat de l'aigua
Una altra tècnica per infiltrar-se encara més a la xarxa consisteix en accions de xarxes corporatives. És molt freqüent que les organitzacions passin informació d’anada i tornada a través d’aquestes accions de xarxa. Es preveu que algunes accions no tinguin informació sensible, de manera que estan menys protegides. I, de la mateixa manera que tots els animals visiten el forat d’aigua a la selva, tothom visita aquestes accions de xarxa.
Els atacants "enverinen el pou" inserint enllaços de drecera especialment elaborats que obliguen la comunicació amb les màquines que ja han compromès. Aquesta tècnica és tan avançada com escriure un fitxer per lots. Hi ha una característica de Windows que us permet assignar una icona personalitzada per a qualsevol carpeta. Els dolents simplement utilitzen una icona situada a la màquina compromesa. Quan s'obre la carpeta, l'Explorador de Windows ha d'anar a buscar aquesta icona. Només n’hi ha prou amb una connexió per deixar que la màquina es pugui atacar mitjançant el procés d’autenticació.
Tard o d'hora, els atacants aconsegueixen el control d'un sistema que té accés a la base de dades objectiu. En aquest moment, només cal esborrar les dades i cobrir les seves pistes. L’organització de víctimes pot no saber mai què els va impactar.
Què es pot fer?
L’informe complet té en realitat molt més detalls que la meva senzilla descripció. Els ullets de seguretat voldran llegir-lo, segur. Els no grollers que estiguin disposats a desaprofitar les coses difícils encara poden aprendre’n.
Una manera excel·lent d’aturar aquest atac particular seria deixar d’utilitzar totalment el protocol d’autenticació NTLM i canviar al protocol Kerberos, molt més segur. Tanmateix, els problemes de compatibilitat endarrerits fan que aquest moviment sigui extremadament poc probable.
La recomanació principal de l’informe és que les organitzacions controlin de prop el trànsit de xarxa per desviacions del normal. També suggereix limitar situacions en què els processos d’alt privilegi es connecten amb els punts finals. Si prou grans xarxes prenen mesures per bloquejar aquest tipus d'atac relativament senzill, els atacants poden haver de desfer-se i trobar alguna cosa realment avançada.
