Taktik peretas favorit

Peretasan sistem komputer dapat terjadi dengan berbagai cara - mulai dari serangan canggih dengan meretas komponen jaringan hingga teknik primitif secara teknis seperti kompromi korespondensi bisnis. Dalam posting ini, kami akan menganalisis taktik yang menggunakan kelompok peretas paling berbahaya - Lazarus, Pion Storm, Cobalt, Silence, dan MoneyTaker .

Salah satu kriteria paling penting untuk memilih alat peretas, selain tingkat kepemilikan anggota kelompok oleh mereka, adalah efektivitas. Serangan cyber modern adalah operasi multi-tahap yang kompleks, yang implementasinya membutuhkan banyak waktu dan sumber daya keuangan yang serius. Jika penetrasi ke dalam sistem gagal, semua pekerjaan awal dan biaya akan sia-sia. Dengan demikian, taktik penetrasi dalam sistem yang digunakan oleh kelompok-kelompok terkemuka dapat dianggap sebagai yang paling efektif.

Di antara taktik ini harus disorot:

1. semua jenis phishing - klasik, tertarget, phishing melalui jejaring sosial, tabnabbing;
2. serangan rantai pasokan;
3. serangan seperti Watering Hole;
4. serangan melalui kerentanan peralatan jaringan dan sistem operasi;
5. serangan melalui intersepsi DNS.

Faktanya, semua metode ini telah lama diketahui, tetapi masing-masing kelompok membawa "belokan" sendiri, mengubah taktik yang efektif menjadi proyektil penusuk baju besi atau menggabungkan beberapa teknik dengan mudah melewati sistem perlindungan perusahaan.

Pengelabuan

Dalam bentuknya yang paling sederhana, phishing adalah email biasa yang berisi lampiran atau tautan jahat. Teks surat itu disusun sedemikian rupa untuk meyakinkan penerima untuk melakukan tindakan yang diperlukan untuk pengirim: buka lampiran atau ikuti tautan untuk mengubah kata sandi.

Surat yang dikirim oleh kolega atau manajer lebih kredibel daripada pesan dari orang asing, terutama jika desain surat itu konsisten dengan gaya yang diadopsi oleh perusahaan. Dalam hal ini, fase persiapan kampanye siber menggunakan phishing harus mencakup pengumpulan informasi tentang struktur organisasi, daftar karyawan dan email mereka, serta surat-surat nyata yang mengandung elemen desain.

Pengelompokan DiamIa menggunakan phishing yang paling umum untuk penetrasi dengan sedikit nuansa: kampanyenya harus mencakup fase uji coba dengan pengiriman surat-surat yang tidak berbahaya untuk memeriksa relevansi basis alamat yang dikumpulkan. Ini memungkinkan Anda untuk meningkatkan efektivitas serangan dengan mengirim surat dengan muatan berbahaya ke database penerima yang diverifikasi.

Grup Pion Storm juga menggunakan pengiriman phising, dan penguat pengaruh seperti otoritas ditambahkan untuk meningkatkan efektivitasnya. Dalam hal ini, tahap persiapan kampanye mereka termasuk yang disebut Phising Kredensial Tinggi - pencurian akun tingkat tinggi. Setelah mengumpulkan jumlah data yang cukup pada organisasi target, Padai Badai melakukan pengiriman surat atas nama orang-orang ini, "menagih" mereka dengan muatan yang memastikan keberhasilan pencapaian tujuan.

Dalam gudang trik Fancy Bear, ada satu lagi, tidak terlalu terkenal, satu - menggantikan situs hukum dengan phishing di tab browser - tabnabbing , dijelaskan oleh Aza Raskin dari Mozilla pada 2010. Serangan tabnabbing adalah sebagai berikut:

• korban dipancing ke situs yang tidak berbahaya yang dikendalikan oleh penyerang;
• ada skrip di situs yang memantau perilaku korban: segera setelah ia beralih ke tab lain atau tidak melakukan tindakan apa pun untuk waktu yang lama, konten situs berubah ke halaman otorisasi dalam surat atau jaringan sosial, dan favicon situs ke favicon layanan yang sesuai - Gmail, Facebook, dll. d.
• Kembali ke tab, korban menemukan bahwa ia telah "masuk" dan tanpa ragu memasuki kredensinya;
• , , .

Peretas Lazarus tidak menukar sepele, lebih memilih untuk tepat sasaran. Senjata mereka ditargetkan phishing melalui pos dan jejaring sosial. Setelah memilih karyawan perusahaan yang cocok untuk tugas-tugas mereka, mereka mempelajari profilnya di jejaring sosial, dan kemudian melakukan korespondensi dengannya, yang biasanya dimulai dengan tawaran pekerjaan baru yang menarik. Menggunakan rekayasa sosial, mereka meyakinkannya, dengan kedok sesuatu yang penting, untuk mengunduh malware dan menjalankannya di komputer mereka.

Tim MoneyTaker , yang berspesialisasi dalam bank, melakukan kampanye phishing atas nama bank lain, bank sentral, kementerian keuangan, dan organisasi terkait keuangan lainnya. Dengan menyalin template dari departemen terkait, mereka memberikan surat-surat itu tingkat kredibilitas yang diperlukan dan cukup untuk serangan yang berhasil.

Serangan Counterparty

Sering terjadi bahwa organisasi sasaran dilindungi dengan baik, terutama ketika menyangkut bank, militer atau organisasi negara. Agar tidak mematahkan dahi terhadap "tembok beton" kompleks pertahanan, kelompok-kelompok menyerang lawan-lawan yang berinteraksi dengan target mereka. Setelah mengkompromikan surat beberapa karyawan atau bahkan menyusup ke korespondensi, peretas menerima informasi yang diperlukan untuk penetrasi lebih lanjut dan kesempatan untuk memenuhi rencana mereka.

Misalnya, grup Cobalt menyusup ke jaringan perbankan, menyerang integrator sistem dan penyedia layanan lainnya, dan meretas oleh pengembang dompet elektronik dan terminal pembayaran memungkinkannya untuk secara otomatis mencuri uang melalui gateway pembayaran menggunakan programnya sendiri.

Serangan Penyiraman

Watering Hole, atau Watering Hole, adalah salah satu taktik favorit Lazarus. Arti serangan itu adalah kompromi dengan situs hukum yang sering dikunjungi oleh karyawan dari organisasi sasaran. Misalnya, untuk karyawan bank, sumber daya tersebut akan berupa situs web bank sentral, kementerian keuangan, dan portal industri. Setelah peretasan, alat peretasan ditempatkan di situs dengan kedok konten yang bermanfaat. Pengunjung mengunduh program-program ini ke komputer mereka dan memberi para penyerang akses ke jaringan.

Di antara situs Lazarus yang diretas adalah Komisi Pengawasan Keuangan Polandia , Bank Republik Timur Uruguay, dan Komisi Perbankan dan Saham Nasional Meksiko . Peretas menggunakan kerentanan di Liferay dan JBoss untuk meretas situs.

Kerentanan OS dan perangkat keras jaringan

Mengeksploitasi kerentanan sistem operasi dan peralatan jaringan memberikan keuntungan yang signifikan, tetapi ini membutuhkan pengetahuan dan keterampilan profesional. Menggunakan kit eksploitasi tanpa pemahaman mendalam tentang prinsip-prinsip pekerjaan mereka akan dengan cepat membatalkan keberhasilan serangan: mereka meretas menjadi retasan, tetapi tidak bisa melakukan apa-apa.

Serangan kerentanan umum terjadi pada MoneyTaker, Lazarus, dan Pawn Storm. Dua kelompok pertama terutama menggunakan kesalahan yang diketahui dalam firmware peralatan jaringan untuk memperkenalkan server mereka ke jaringan perusahaan melalui VPN, yang melaluinya mereka melakukan tindakan lebih lanjut. Tetapi dalam gudang Pawn Storm, kerentanan zero-day berbahaya ditemukan, yang tidak ada tambalan; memindai untuk sistem dengan kerentanan yang diketahui.

Serangan DNS

Ini adalah keluarga serangan yang kami rekam hanya dengan Gadai Badai. Kelompok terkenal lainnya biasanya terbatas pada phishing dan dua hingga tiga metode alternatif.

Gadai Badai menggunakan beberapa tingkat kompromi DNS. Misalnya, ada kasus ketika mereka mencuri kredensial perusahaan dari panel kontrol DNS dan mengubah server MX ke server mereka sendiri, mendapatkan akses penuh ke korespondensi. Server jahat menerima dan mengirim semua email ke perusahaan target, meninggalkan salinan yang dimiliki, dan peretas dapat menyusup ke rantai apa pun kapan saja dan mencapai hasil yang diinginkan, tanpa terdeteksi.

Cara lain untuk berkompromi adalah dengan mengambil kendali penuh dari server registrar DNS. Di banyak negara hanya ada sedikit pendaftar, sehingga perebutan kendali atas yang terbesar dari mereka memberikan kemungkinan yang hampir tak terbatas untuk memperkenalkan sebagian besar organisasi publik dan swasta ke dalam pertukaran informasi, phishing dan jenis pengaruh lainnya.

temuan

Phishing tidak hanya populer dengan script kiddis yang menyewa akses ke layanan jahat seperti Phishing-as-Service atau Extortion-as-Service. Keefektifan dan relatif murahnya metode ini menjadikannya utama, dan terkadang satu-satunya senjata dari kelompok yang paling berbahaya. Banyaknya pilihan untuk menggunakannya memainkan ke tangan para penjahat: sebelum berkompromi dengan korespondensi bisnis, sebagian besar solusi protektif lulus, dan kredibilitas dan gangguan pengguna akan menjadi dukungan yang andal untuk serangan penipuan untuk waktu yang lama.
Melindungi sistem komputer dan peralatan jaringan tidak diragukan lagi merupakan tugas penting seiring dengan pemasangan pembaruan keamanan yang tepat waktu, tetapi dengan mempertimbangkan grafik taktik kejahatan dunia maya, langkah-langkah yang berkaitan dengan perlindungan dari faktor manusia didahulukan.

Kredensial yang dicegat dari surat orang senior akan memungkinkan penjahat untuk mencuri informasi sensitif yang sangat penting, dan kemudian menggunakan surat dan informasi ini untuk melakukan serangan multi-pass. Sementara itu, pelatihan keterampilan yang dangkal dan penggunaan MFA akan menghalangi peretas kesempatan ini.

Namun, sistem pertahanan juga tidak tinggal diam, mendeteksi tindakan jahat menggunakan kecerdasan buatan, pembelajaran mendalam dan jaringan saraf. Banyak perusahaan mengembangkan kelas ini, dan kami juga menawarkan perlindungan kepada pelanggan kami dari serangan BEC canggih dengan bantuan kecerdasan buatan yang terlatih khusus. Penggunaannya bersama dengan pelatihan karyawan dalam keterampilan perilaku aman akan memungkinkan mereka untuk berhasil melawan serangan dunia maya bahkan oleh kelompok yang paling terlatih secara teknis.