11月2日報道 在本周的邁阿密黑客防范論壇上，安全研究人員表示，黑客們正明目張膽地侵入公司網(wǎng)絡(luò)，以竊取有價值的數(shù)據(jù)，并將其提供給其他公司或國家——并僥幸逃脫。

“不幸的是，IDS(入侵檢測系統(tǒng))沒有檢測到他們”，瑞士的Ptrace Security公司的安全專家Gianni Gnesa在談到最近一次針對瑞士公司的攻擊時表示。

攻擊者一旦進(jìn)入員工機(jī)器，就會利用一系列工具和嗅探器來尋找存儲在瑞士公司網(wǎng)絡(luò)的有價值的內(nèi)容。盡管他即便發(fā)現(xiàn)應(yīng)用服務(wù)器也無法進(jìn)入，但是，攻擊者會攻入網(wǎng)絡(luò)打印機(jī)，并查找密碼。“管理員密碼在HTML代碼中，”Gnesa表示，“但不幸的是，那個密碼也用在其他機(jī)器上。”

最后，攻擊者會設(shè)法獲取存儲在Linux文件服務(wù)器上的文件、圖表及其他有價值的知識產(chǎn)權(quán)。盡管服務(wù)器在安全防護(hù)上沒有問題，但其備份可不是這樣，通過Gnesa所說的phpMyAdmin 3.4.1 swekey RCE漏洞，攻擊者可獲得備份服務(wù)器上的遠(yuǎn)程操作界面。而通過使用另一個Linux 2.6.x umount漏洞，他會獲得root shell，由此得以進(jìn)入每個文件和目錄。

Gnesa說，攻擊者對提取大量敏感數(shù)據(jù)很有興趣，他們將數(shù)據(jù)傳送到馬來西亞的受控主機(jī)上。攻擊者在竊取簽名信息和文件后，試圖將金錢轉(zhuǎn)入國外銀行賬號時，瑞士公司發(fā)現(xiàn)了不對勁。而瑞士銀行認(rèn)為這筆轉(zhuǎn)賬業(yè)務(wù)可疑并通知了受攻擊的公司。Gnesa稱，這次攻擊花了2周時間來實(shí)現(xiàn)，但卻花了一個半月時間來準(zhǔn)備各種細(xì)節(jié)。

如何防止這類攻擊以免數(shù)據(jù)遭竊？Gnesa建議，主要的措施就是使用安全事件和信息管理工具，如：HP ArcSight、Novell Sentinel、Tripwire Log Center和Splunk，由此監(jiān)控不正常的流量。

“如果攻擊者想進(jìn)入你的網(wǎng)絡(luò)，” Gnesa說，“你唯一能做的事就是給他制造更大的難度。”

上文中的瑞士公司在完成對此次攻擊的調(diào)查后也做了些改變，比如：添加了單獨(dú)的安全響應(yīng)措施，禁止使用社交網(wǎng)絡(luò)，改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等。

這種攻擊竊取來的重要文件和信息經(jīng)常被提供給競爭對手或者是國家機(jī)構(gòu)，這就是現(xiàn)在常說的“高級持續(xù)性威脅(APT)”。在本次黑客防范論壇上，其他安全專家也表示，他們也表示，有證據(jù)表明，APT一直都存在。