וִידֵאוֹ: Pedro Gonçalves (Sporting): Golos até à 7.ª jornada (Liga 2020/2021) (אוֹקְטוֹבֶּר 2024)
הביטוי "איום מתמשך מתקדם" מביא לדעתי תמונה מסוימת, צובר של האקרים מסורים, חופרים ללא לאות להתקפות חדשות של אפס יום, עוקבים מקרוב אחר רשת הקורבן, וגונבים נתונים בשקט או מבצעים חבלה חשאית. אחרי הכל, תולעת Stuxnet הידועה לשמצה הייתה זקוקה לפגיעות מרובה של אפס יום בכדי להשיג את מטרתה, ודואק ה- Stuxnet Spinoff Duqu השתמש לפחות באחת. עם זאת, דוח חדש של אימפרבה מגלה כי ניתן לפיגוע מסוג זה באמצעים הרבה פחות מתוחכמים.
רגל בדלת
הדו"ח עוסק בפרטים רציניים על התקפה מסוימת שעוברת אחרי מידע סודי המאוחסן בשרתי הארגון. המפתח העיקרי הוא זה. התוקפים בהחלט לא מבצעים התקפה על השרת. במקום זאת, הם מחפשים את המכשירים הכי פחות מאובטחים ברשת, מתפשרים עליהם, ומעט מתיישבים גישה מוגבלת זו לרמת ההרשאות שהם צריכים.
ההתקפה הראשונית בדרך כלל מתחילה במחקר של ארגון הקורבן, המחפש את המידע הדרוש כדי ליצור דוא"ל "דיוג חנית" ממוקד. ברגע שעובד חסר אומללות כזה או אחר לוחץ על הקישור, הרעים קיבלו דריסת רגל ראשונית.
באמצעות הגישה המוגבלת הזו לרשת, התוקפים עוקבים אחר התנועה, ובמיוחד מחפשים חיבורים ממקומות מיוחסים לנקודת הקצה הפגומה. חולשה בפרוטוקול אימות נפוץ מאוד הנקרא NTLM יכולה לאפשר להם לתפוס סיסמאות, או חיפושי סיסמאות, ועל ידי כך לקבל גישה למיקום הרשת הבא.
מישהו הרעל את חור המים!
טכניקה נוספת לחדירה נוספת של הרשת כוללת מניות של רשתות ארגוניות. מקובל מאוד שארגונים יעבירו מידע קדימה ואחורה דרך שיתופי רשת אלה. חלק מהשיתופים לא צפויים להחזיק במידע רגיש, ולכן הם מוגנים פחות. וכמו שכל בעלי החיים מבקרים בבור הג'ונגל, כך כולם מבקרים בשיתופי הרשת האלה.
התוקפים "מרעילים את הבאר" על ידי הכנסת קישורי קיצורי דרך מעוצבים במיוחד, שמאלצים תקשורת עם המכונות שכבר התפשרו עליהם. טכניקה זו מתקדמת בערך כמו כתיבת קובץ אצווה. יש תכונה של Windows המאפשרת לך להקצות אייקון מותאם אישית לכל תיקיה. הרעים פשוט משתמשים בסמל שנמצא במחשב הנפגע. כאשר התיקיה נפתחת, סייר Windows צריך לקבל את הסמל הזה. זה מספיק חיבור כדי לאפשר למכונה שנפגעה לתקוף באמצעות תהליך האימות.
במוקדם או במאוחר, התוקפים משיגים שליטה במערכת שיש לה גישה למסד הנתונים של היעד. בשלב זה, כל מה שהם צריכים לעשות זה לשלם את הנתונים ולכסות את עקבותיהם. ארגון הקורבן עשוי אף פעם לא לדעת מה פגע בהם.
מה אפשר לעשות?
הדו"ח המלא אכן נכנס לפרטי פרטים רבים בהרבה מהתיאור הפשוט שלי. חונני אבטחה ירצו לקרוא את זה, בוודאות. נבלים שאינם מוכנים לדלג על פני הדברים הקשים עדיין יכולים ללמוד מכך.
דרך אחת נהדרת לסגור את ההתקפה הספציפית הזו היא להפסיק לחלוטין להשתמש בפרוטוקול אימות NTLM ולעבור לפרוטוקול Kerberos הרבה יותר מאובטח. בעיות תאימות לאחור הופכות את הצעד הזה לא סביר ביותר.
ההמלצה העיקרית של הדו"ח היא שארגונים יעקבו מקרוב אחר תנועת הרשת אחר סטיות מהרגיל. זה גם מציע מצבים מגבילים שבהם תהליכים בעלי הרשאות גבוהות מתחברים לנקודות קצה. אם מספיק רשתות גדולות נוקטות בצעדים כדי לחסום התקפה מסוג זה יחסית יחסית, ייתכן שהתוקפים אכן יצטרכו להתכרבל ולהגיע למשהו מתקדם באמת.
