Video: Gott sei dank ist die Technik so weit fortgeschritten #technik (Dezember 2024)
Der Ausdruck "Advanced Persistent Threat" erinnert mich an ein bestimmtes Image, an einen Kader von begeisterten Hackern, die unermüdlich nach neuen Zero-Day-Angriffen suchen, das Netzwerk der Opfer genau überwachen und im Stillen Daten stehlen oder geheime Sabotage durchführen. Immerhin benötigte der berüchtigte Stuxnet-Wurm mehrere Zero-Day-Schwachstellen, um sein Ziel zu erreichen, und der Stuxnet-Spinoff Duqu verwendete mindestens eine. Ein neuer Bericht von Imperva zeigt jedoch, dass es möglich ist, solche Angriffe mit weniger ausgefeilten Mitteln durchzuführen.
Ein Fuß in die Tür
Der Bericht enthält ausführliche Informationen zu einem bestimmten Angriff, der vertrauliche Informationen betrifft, die auf den Servern eines Unternehmens gespeichert sind. Der Schlüssel zum Mitnehmen ist dies. Angreifer mounten auf keinen Fall einen Angriff auf den Server. Vielmehr suchen sie nach den am wenigsten sicheren Geräten im Netzwerk, gefährden sie und leiten diesen eingeschränkten Zugriff nach und nach auf die von ihnen benötigte Berechtigungsstufe um.
Der erste Angriff beginnt in der Regel mit einer Untersuchung der Organisation des Opfers, in der nach Informationen gesucht wird, die für die Erstellung einer gezielten Spear-Phishing-E-Mail erforderlich sind. Sobald ein unglücklicher Angestellter oder ein anderer auf den Link klickt, haben die bösen Jungs einen ersten Halt erlangt.
Durch diesen eingeschränkten Zugriff auf das Netzwerk behalten die Angreifer den Datenverkehr im Auge und suchen gezielt nach Verbindungen von privilegierten Standorten zum gefährdeten Endpunkt. Eine Schwachstelle in einem sehr häufig verwendeten Authentifizierungsprotokoll namens NTLM kann es ihnen ermöglichen, Kennwörter oder Kennwort-Hashes zu erfassen und dadurch Zugriff auf den nächsten Netzwerkspeicherort zu erhalten.
Jemand hat das Wasserloch vergiftet!
Eine andere Technik zum weiteren Infiltrieren des Netzwerks umfasst Freigaben von Unternehmensnetzwerken. Es kommt häufig vor, dass Organisationen Informationen über diese Netzwerkfreigaben hin und her leiten. Von einigen Freigaben wird nicht erwartet, dass sie vertrauliche Informationen enthalten, sodass sie weniger geschützt sind. Und so wie alle Tiere das Dschungelwasserloch besuchen, besuchen alle diese Netzwerkfreigaben.
Angreifer "vergiften den Brunnen", indem sie speziell gestaltete Verknüpfungen einfügen, die die Kommunikation mit den Maschinen erzwingen, die sie bereits kompromittiert haben. Diese Technik ist ungefähr so fortgeschritten wie das Schreiben einer Batch-Datei. Es gibt eine Windows-Funktion, mit der Sie jedem Ordner ein benutzerdefiniertes Symbol zuweisen können. Die bösen Jungs verwenden einfach ein Symbol, das sich auf dem kompromittierten Computer befindet. Wenn der Ordner geöffnet wird, muss Windows Explorer dieses Symbol abrufen. Das ist genug von einer Verbindung, um den kompromittierten Computer über den Authentifizierungsprozess angreifen zu lassen.
Früher oder später erhalten die Angreifer die Kontrolle über ein System, das Zugriff auf die Zieldatenbank hat. An diesem Punkt müssen sie nur noch die Daten auslesen und ihre Spuren verwischen. Die Opferorganisation wird möglicherweise nie erfahren, was sie getroffen hat.
Was kann getan werden?
Der vollständige Bericht geht tatsächlich weitaus detaillierter als meine einfache Beschreibung. Sicherheitskräfte werden es auf jeden Fall lesen wollen. Nicht-Winser, die bereit sind, die harten Sachen zu überfliegen, können immer noch daraus lernen.
Eine gute Möglichkeit, diesen bestimmten Angriff abzuschließen, besteht darin, die Verwendung des NTLM-Authentifizierungsprotokolls vollständig zu beenden und auf das viel sicherere Kerberos-Protokoll zu wechseln. Abwärtskompatibilitätsprobleme machen diesen Schritt jedoch äußerst unwahrscheinlich.
Die Hauptempfehlung des Berichts lautet, dass Organisationen den Netzwerkverkehr genau auf Abweichungen vom Normalen überwachen. Es wird auch vorgeschlagen, Situationen einzuschränken, in denen Prozesse mit hohen Berechtigungen mit Endpunkten verbunden sind. Wenn genügend große Netzwerke Schritte unternehmen, um diese Art von relativ einfachem Angriff zu blockieren, müssen sich die Angreifer möglicherweise zurückziehen und etwas wirklich Fortgeschrittenes einfallen lassen.
