Published By - Brian Curtis

網絡威脅報告:RECONNAISSANCE 2.0

RECONAISE - 2

攻击者已经开发了一系列工具和技术,可以打入组织的网络并窃取有价值的信息。该报告揭示了演员在进行内部侦察时使用的最新战术威胁。它还解释了自动化如何使业余黑客能够携带 进行高级侦察并加速攻击。

攻击者寻找有价值的数据

有针对性的攻击通常始于组织防御中最薄弱的环节:他们的终点。目标攻击的最初步骤可以像说服用户打开电子邮件附件一样简单。有4%的用户因任何特定的网络钓鱼活动而下降1并且攻击者能够发送无数的网络钓鱼电子邮件以及执行无数其他攻击 – 从零日攻击到社会工程攻击 – 即使是最强大的组织也会受到入侵。一旦攻击者破坏了端点,他们就必须建立与命令和控制服务器的通信通道。接下来,他们在寻找有价值的资产时开始探索周围的环境。在内部侦察阶段,他们可能会追求导致死路的路径,但会继续尝试新的途径,直到达到目的。为了避免被发现,威胁行为者不断更新他们的工具和方法。他们利用新技术确定土地的位置并找到关键资产,例如ActiveDirectory®服务器,文件服务器和数据库。

這裡有一些內部偵察技術:

  • 无文件攻击

随着安全技术在检测恶意软件方面变得越来越好,威胁行为者已经转向无文件攻击以破坏端点并进行内部侦察而不会引发警报。无文件攻击技术包括以下内容:

•仅限内存的恶意软件
•基于脚本的恶意软件和工具
•将恶意代码嵌入良性文件中

威胁演员使用无文件攻击,因为它们比传统的基于文件的恶意软件更有可能成功。事实上,根据最近的一项调查,2017年77%的成功攻击是由于无文件攻击或攻击,而只有23%的攻击归因于基于文件的攻击。

  • 在陆地上生活

一旦攻击者利用端点(通常是无文件攻击),他们就会尝试定位并窃取,操纵或破坏数据。隐形攻击者不是通过安装恶意软件或攻击工具来引起注意,而是使用已经存在于受害者机器上的现有应用程序来执行侦察。这些应用程序受信任并用于合法的日常活动,因此攻击者可以在攻击生命周期的多个阶段使用它们,包括内部侦察,同时避开检测。

生活在陆地上的还包括滥用GitHub®,Pastebin,Twitter®,Box甚至Microsoft Office 365等知名服务。攻击者使用这些服务在在线文件共享和电子邮件应用程序中查找敏感数据。他们还将这些服务用于命令和控制以及数据泄露。

  • 滥用备份

许多组织投入大量资源来保护其敏感应用程序。他们部署防火墙,强身份验证,威胁防御,端点保护等,以保护他们的应用和数据。但是,这些注重安全的组织通常不会将网络安全最佳实践扩展到备份服务器。他们经常考虑密码保护和定期修补,以充分的安全控制。因此,备份服务器可以为不道德的黑客提供易于访问的宝库数据。

  • 自动化

过去,只有最复杂的网络犯罪分子和国家支持的攻击者才能进行有针对性的攻击。现在,即使是最新手级别的黑客也可以使用攻击工具,脚本和信息共享的组合来执行多阶段攻击。自动化还使攻击者能够比以往更快地执行侦察。

领先于攻击者

网络攻击方法不断变化。攻击者提出加速攻击的新方法并将其活动隐藏在安全工具之外只是时间问题。今天的侦察技术 – 如生活在陆地上,无文件攻击,滥用备份和自动化 – 都是危险的,但攻击者最终会用新的攻击方法取而代之。但是,攻击者仍然需要在找到并窃取数据之前收集有关其环境的信息。通过分析用户和设备的网络行为,即使攻击者将来更改其工具和技术,安全团队也可以检测内部侦察

Download Resource

Leave a Reply

Your email address will not be published. Required fields are marked *

Show Buttons
Share On Facebook
Share On Twitter
Share On Linkedin
Hide Buttons