RSA會議:2015六大新型攻擊趨勢
SANS專家在RSA會議上向大家展示了未來攻擊方式的趨勢。
該項研究由SANS主管John Pescatore主導,Counter Hack Challenges創始人兼SANS研究員Ed Skoudis、SANS研究院長Johannes Ullrich以及Michael Assante參與其中。SANS項目將為工業控制系統(ICS)和監控和數據采集(SCADA)的安全服務。每個參與者都展望了明年將會獲得關注的攻擊技術同時他們也提供了自己對網絡威脅演變的看法。
一、攻擊者將會慢慢“消費”數據漏洞
據Skoudis描述,將會有越來越多的組織機構需要面對攻擊者,不僅是了解他們如何竊取信息的,還要知道他們如何將信息傳播的,特別是如果攻擊者想公開羞辱他們的目標。
“我說的當然就是索尼公司的情況。攻擊者不是僅僅將偷到的大數據直接對外泄漏,而是一點點的曝光。這么做造成更大傷害的原因是索尼根本不知道該如何回應。攻擊者在第三天、第四天的爆料讓索尼在第一天所作的的回應聽起來愚蠢至極。因此這樣對索尼來說造成的損失不僅僅是數據泄露,他們好像在與魔鬼打拳一般。”
Skoudis建議組織機構開始演練包括信息泄露響應在內的場景。
二、微軟Kerberos正在挨打
科普:Kerberos
Kerberos是由美國麻省理工學院提出的基于可信賴的第三方的認證系統;提供了一種在開放式網絡環境下進行身份認證的方法,它使網絡上的用戶可以相互證明自己的身份;采用對稱密鑰體制對信息進行加密。其基本思想是:能正確對信息進行解密的用戶就是合法用戶。用戶在對應用服務器進行訪問之前,必須先從第三方(Kerberos服務器)獲取該應用服務器的訪問許可證。
正如Pass the Hash攻擊在2011年回歸主流一樣,Skoudis解釋說他與其他專家一直以一些不常提及的攻擊對象作為討論的起始,例如微軟的Kerberos,但情況有了轉變。
“發生了什么呢?我們通過了訪問許可并能夠實施攻擊。一旦一個壞人黑進這個系統中的機器——用戶的機器或者是服務器——它能夠竊取Kerberos發給用戶應用服務器的許可證。”
Skoudis進一步解釋了攻擊者在10小時內可以對這些訪問許可證加以利用并造成許多傷害。
三、對IoT漏洞基于現實的利用將增多
Skoudis警告說,隨著更多超越手機和平板的網絡應用侵入你的生活,未來將更加無孔不入,無論是打印機或是無線路由器,IoT的更多漏洞將直接影響到企業。目前嵌入式硬件設備變得十分廉價,因此漏洞造成的傷害將升級。
“當一切不同的事物進入這個環境中,如果你不知道漏洞出現在哪里,那你便無法抵御它。”
不幸的是這些設備通常對一些古老的攻擊以及傳統方式無力抵抗。但是這些常見的漏洞將在IoT設備中造成新的、無法預測的后果。
Skoudis舉了個例子,他和他的團隊發現一臺設備受到一個簡單的跨站點腳本攻擊便遭到了無可逆轉的破壞。
“你可以對一個設備發動跨站點腳本攻擊,它就被毀了。看,我相信你或許和我一樣見多很多跨站點腳本攻擊,但是我從未見過它能毀了一臺設備。這簡直太瘋狂了。”
四、加密技術成為安全的亦敵亦友
加密技術成為安全的首位敵友,不僅僅是因為在在執行欠佳的時候加密能解決問題(如“心臟滴血”和“BASH”漏洞),還因為它能夠被用于對付你自己。
當加密勒索軟件數量增多時,這在很大程度上被視為是一個消費者問題。但是當攻擊者開始切換他們的加密勒索軟件交付技術時情況將發生變化。
企業可能會認為泄漏的信息比加密的信息更重要一些,因為加密的信息都有備份。然而當備份被攻擊者加密之后情況就不同了。例如攻擊者通常會試圖黑進NAS及其他設備的備份以便執行針對公司的勒索軟件攻擊。攻擊者利用web應用程序的漏洞進入web服務器中,然后在一段時間內有效地加密數據,最終在索要贖金前消除加密。因此所有在過去六個月內變化過的數據(特別是web服務器)現在都設了加密,其中也包括所有近六個月內的備份。現在你會發現你的網站有大量向你索要贖金的通知,不付的話你就找不回你的數據了。
五、DoS攻擊呈增長趨勢
DoS攻擊在過去幾年中都是一個很嚴重的問題,而在大多數情況中,企業已經開始學會如何去適應它了。
攻擊者會專注于實際應用。因此有了七層DoS攻擊。相對流量水平較低的像是幾百兆位或者一千兆位的,攻擊者能對應用程序造成嚴重的危害甚至使之無法使用。
此外,攻擊者不是通過反射DNS服務器攻擊的,也不是使用了拒絕服務攻擊僵尸網絡,而是通過來自真實用戶的請求。
六、ICS成為攻擊目標
攻擊者對如何追蹤工業控制系統越來越精通了,現在甚至有了定制ICS漏洞的現象,這可是個新消息。這意味著對手對此進行了很多的思考與關注。
此外,攻擊者對ICS系統內的特定功能加以利用,同時了解傳遞的重要性。
“攻擊者也證明了目前有許多控制系統至少是隱藏在一個防火墻——即一個邏輯分割之后的。他們同樣在思考以及研究如何專注于傳送而不是凈負荷。黑客要如何進入他們想去的地方?以及我們同樣關注的一件事,ICS信任關系。”
結果,針對生產工程師和這些領域的釣魚攻擊提高了等級,同樣增加的還有針對帶有ICS工程師信息網站的水坑攻擊。更可怕的還有攻擊者開始裝置可用于更新固件的ICS文件及構件并且在供應鏈中尋找可以替代它們的方式以使惡意軟件通過防火墻進入生產環境。
