不只是入侵 攻擊者傾向于更長久地潛藏在網絡中
責編:gltian |2019-04-10 14:49:11網絡入侵者駐留的時間越來越長,染指的機器越來越多。
Carbon Black最近分析了其40家企業客戶的事件報告,發現攻擊者潛蹤匿跡的手段更為豐富,駐留受害者網絡的時間有所增長。
僅剛剛過去的3個月里,Carbon Black接到的報告就反映出黑客反擊安全工具和管理員的行為有5%的上升,過去6個月里(從2018年第三季度到今年第一季度),這一漲幅是10%。此類行為包括刪除日志、禁用殺軟、劫持合法進程和關閉防火墻。
黑客自然干的是黑客的事,這里面有什么值得重點注意的嗎?
首先,這種對確保自己不被檢測的額外關注,已成為攻擊者想要更長久地潛藏在被滲透網絡中的“大政方針”的一部分。有了更長的駐留時間,黑客就能更充分挖掘已侵入系統的價值。
Carbon Black 首席網絡安全官 Tom Kellermann 稱:黑客已經從搶了就跑發展到家園入侵了。黑客是真想占有這些系統,擁有這些基礎設施。
其中部分原因在于黑客瞄準知識產權的比率大幅上升。隨著俄羅斯等民族國家的公司企業和政府越來越熱衷于竊取競爭對手的科技和文檔,知識產權盜竊作為動機的攻擊占了該安全公司觀測到的所有攻擊的22%,比上一季度增長了5%。
第二個主要趨勢是跳板攻擊——攻擊者從已侵入網絡跳轉到供應鏈更上游的另一家公司的網絡。
報告指出,第一季度分析的所有攻擊中50%都是經由供應鏈成員或其他合作公司跳轉的。
雖然跳板攻擊技術并不新鮮,此類攻擊的頻率及其背后的原因卻是前所未見的。黑客如今不是簡單地想要入侵大型企業,還想一定程度上借助其身份。比如說,黑客可能在拿下某個網絡后征用電子郵件服務器執行“逆向”電子郵件攻擊入侵和魚叉式網絡釣魚攻擊。一旦敵人入侵公司網絡,他們會利用受害者的品牌進一步擴大戰果。
真正的戰利品是受害公司的品牌。
這就又給惡意黑客隱藏其蹤跡添加了一層動機。他們想利用單個被黑系統或網絡作為據點,拉取更有價值的知識產權,觸碰更多的公司。
雖然趨勢本身說明了不容易解決的一些宏觀問題(比如政治和外交問題),有些簡單的技術規范和行為還是可以用來緩解傷害的。
首先,管理員和安全人員應采取更細致的方法審查事件。比如說,別假設攻擊者已經撤退了,而是盡可能悄悄地收集證據,并警惕入侵者可能采取反制措施。
供應商,尤其是微軟,也應承擔一定的責任。微軟應介入并封鎖其遠程管理工具,以便更好地保護其企業客戶。
WMI和PowerShell不應該以這樣一種戲劇性的方式被濫用,微軟是時候悔過了。
Carbon Black 季度事件響應危險報告: