黑客揭秘:數據如何不翼而飛
大多數人都認為應該防止黑客的入侵,但是一旦黑客進入了你們內部,他們又是如何將數據弄到外面的?Trustwave公司SpiderLabs的研究向我們揭示的答案往往非常簡單。
網絡犯罪分子在攻擊的方法上變得越來越復雜。我們也往往將此等同于數據潛回的方法。盡管移動設備或物理盜賊也可以利用,但是數據的潛回或輸出通常都是在網絡渠道的系統上復制數據過程中發生的。
SpiderLabs 2009年對24個不同國家的200起數據違規事件進行了調查。雖然網絡犯罪分子從違規環境中獲取數據的方法多種多樣,但是他們入侵某個環境的方法往往都是通過遠程訪問那些被目標企業使用的應用程序。在SpiderLabs的調查中,45%的違規事件是因為遠程訪問應用而使系統遭到違規的。并且不是零日漏洞攻擊或復雜的應用程序漏洞,攻擊現象看起來與IT員工和CEO在外出過程中遠程連接網絡并無太大差異。攻擊者也不需要通過蠻力獲得賬戶。SpiderLabs發現,90%的攻擊事件得以成功因為供應商違約或易被猜透的密碼,例如"temp:temp"或"admin:nimda" 。
一旦確立一個立足點,攻擊者往往使用網絡列舉工具。網絡列舉工具往往被攻擊者用來挖掘同一環境中的其他目標或檢索系統信息用,例如用戶名、組權限、網絡共享和可用服務。如果列舉工具收集到了噪音就可以排除受到攻擊的可能。糟糕的是,我們發現多數機構都沒有適當地對自己的系統進行監測,因此無法覺察到這些現象。
作為一種工具,它可以讓攻擊者通過可信的私人電路進入別的酒店物業系統。不法分子隨后利用內部連接,最終導致那些物理分布比較分散的站點的數據被違規。
一旦攻擊者獲得目標企業的訪問權限,他們就會使用手動或者自動的方法獲取數據。使用手動方法可以盜取有漏洞的數據庫和文件,使用特定的關鍵字進一步確定數據就可進行操作系統的搜索。
自動的方法主要是編寫專門的惡意軟件,利用處理機密信息的應用程序的安全控件中的漏洞來達到目的。一般來說,許多應用的安全設計并不適用于別的控件,數據處理組件的報警功能也不明確。雖然數據是由目標系統處理的,但可接收、儲存加密數據并將數據傳輸到上游主機的目標系統易受到數據違規。這是因為系統處理數據必須被解密為RAM,以便應用程序可以使用。在這一過程中,2009年網絡犯罪分子多次使用RAM解析器。67%的SpiderLabs調查與惡意軟件有關,說明自動工具被用來獲取非RAM的數據。
如何應對
平均來說,網絡犯罪分子獲取目標系統或數據訪問權限的時間是156天。在這段時間內,攻擊者進入環境,設置他們的工具來移動數據,并在IT人員或部門對他們的行動采取行動之前獲取數據。2009年的一些調查顯示,一些網絡犯罪分子經常在三年內頻繁活動。2009年比較典型的長期的檢測,似乎還運用了一些知識,網絡犯罪分子的活動不是隱形的。
在38個案例中,網絡犯罪分子使用遠程訪問程序方便第一次進入提取數據。其他的現有服務,如本地FTP和HTTP客戶端功能,也經常被用來進行數據滲漏。尤其是當惡意軟件被用來數據滲漏的時候,FTP、SMTP和IRC功能就會被定期觀察。在對特制惡意軟件進行逆向分析的過程中,二進制會泄露FTP功能的存在,包括硬編碼IP地址和證書。有了現成的惡意軟件,如按鍵記錄器,攻擊者往往用內置的FTP和郵件功能滲漏數據。當郵件服務被用來提取數據的時候,攻擊者往往會直接安裝惡意的SMTP服務器到遭受違規的系統中,以確保數據可以正常地傳送。
只有個別情況的數據滲漏使用了加密渠道,進一步表明犯罪分子不關注警報是否存在。由于本地可用網絡服務的存在,以及缺乏適當的出口過濾并且使用了不適當的系統檢測做法,犯罪分子往往使用可用的網絡服務或安裝他們自己的基礎服務。
很顯然,在所有的案例中,敏感數據被輸送到了目標環境之外。在這一過程中,IT安全團隊根本不會監測到數據泄漏的發生。
在尋找攻擊跡象的時候,IT安全團隊似乎期望情況時復雜的。而攻擊者往往非常簡單,甚至可能在例行的日志審查中表現為“良性”。數據沒有離開目標環境之前,不會有跡象表明遭到了違規。密切關注“標準”系統的“正常”活動行為是避免亡羊補牢的重要措施。應該用懷疑的視角審視每一個不正常的行為并通過內部調查的做法解決問題,如果必要的話還應該請外部專家進行再審。
【編輯推薦】
