Get best of the week

最喜欢的黑客策略

图片
黑客攻击计算机系统的方式有很多-从攻击网络组件的复杂攻击到技术原始技术(例如破坏业务通信)。在本文中,我们将分析使用最危险的黑客组织-Lazarus,Pawn Storm,Cobalt,Silent和MoneyTaker的策略

选择黑客工具的最重要标准之一就是有效性,这不仅是其对成员的所有权程度。现代网络攻击是复杂的多阶段操作,其实施需要大量时间和大量财务资源。如果无法渗透到系统中,那么所有的前期工作和成本都将是徒劳的。因此,领导小组使用的系统中的渗透策略可以被认为是最有效的。

在这些策略中,应强调以下几点:

  1. 所有类型的网络钓鱼-经典,针对性,通过社交网络进行的网络钓鱼,踩踏;
  2. 供应链攻击;
  3. 诸如水坑之类的攻击;
  4. 通过网络设备和操作系统的漏洞进行攻击;
  5. 通过DNS拦截进行攻击。

实际上,所有这些方法早已为人所知,但每个小组都有其自己的“热情”,将有效的战术变成穿甲弹,或巧妙地结合了多种技术以轻松绕过公司的保护系统。

网络钓鱼


网络钓鱼最简单的形式是包含恶意附件或链接的常规电子邮件。信件文本的编写方式是说服收件人执行发件人必需的操作:打开附件或单击链接以更改密码。

同事或经理发送的信件比陌生人发来的信件更可信,尤其是如果信件的设计与公司所采用的样式一致。在这方面,使用网络钓鱼的网络活动的准备阶段必然包括收集有关组织结构,员工及其电子邮件列表以及包含设计元素的真实信件的信息。

沉默分组它使用最常见的网络钓鱼进行细微的渗透:其活动必须包括测试阶段,即发送无害信件以检查所收集地址库的相关性。通过将带有恶意负载的信件发送到经过验证的收件人数据库,可以提高攻击的有效性。

Pawn Storm小组还使用网络钓鱼邮件,并添加了诸如权威机构的影响力放大器以提高其有效性。在这方面,他们运动的准备阶段包括所谓的“高级网络钓鱼”-盗窃高级帐户。在针对目标组织收集了足够数量的此类数据之后,Pawn Storm代表这些人进行邮件发送,并为他们“充值”有效载荷,以确保成功实现目标。

在Fancy Bear的招数中,还有另一个(不太知名)的方法-用浏览器选项卡中的网络钓鱼网站替换合法网站-tabnabbing(由Mozilla的Aza Raskin在2010年描述)。Tabnabbing攻击如下:

  • 受害人被引诱到攻击者控制的无害场所;
  • 该网站上有一个脚本来监视受害者的行为:一旦受害者切换到另一个选项卡或很长时间没有执行任何操作,该网站的内容就会更改为邮件或社交网络中的授权页面,而该网站的图标将变为相应服务的图标(Gmail,Facebook等)。 d。
  • 返回到选项卡,受害者发现她已经“登录”,并且毫无疑问输入了她的凭据;
  • , , .

黑客拉撒路(Lazarus)不会为小事而交换,而是宁愿精确地对准目标。他们的武器是通过邮件和社交网络进行网上诱骗的。选择适合自己任务的公司员工后,他们在社交网络中研究他的个人资料,然后与他建立联系,通常以诱人的新工作开始。他们使用社会工程学说服了他,以某种重要的幌子下载了该恶意软件并在其计算机上运行该恶意软件。专门从事银行业务

的MoneyTaker团队代表其他银行,中央银行,财政部和其他与金融相关的组织进行网络钓鱼活动。通过复制相关部门的模板,他们为信件提供了成功攻击所需的必要和足够的可信度。

对手攻击


目标组织经常受到良好的保护,尤其是在涉及银行,军事或国家组织时。为了不让额头撞到防御综合体的“混凝土墙”,各团体攻击与其目标相互作用的对抗剂。黑客入侵了几名员工的邮件甚至渗入了信件之后,他们就获得了进一步渗透所需的信息以及实现其计划的机会。

例如,Cobalt小组渗透了银行网络,攻击了系统集成商和其他服务提供商,并且电子钱包开发商和支付终端遭到黑客攻击,从而使其能够使用自己的程序通过支付网关自动窃取金钱。

浇水攻击


水坑或水坑是拉撒路最喜欢的战术之一。攻击的含义是破坏目标组织员工经常访问的合法站点。例如,对于银行雇员而言,此类资源将是中央银行的网站,财政部和行业门户。黑客入侵后,黑客工具会以有用内容为幌子放置在网站上。访客将这些程序下载到他们的计算机上,并向攻击者提供对网络的访问权限。

其中砍死拉撒路网站是波兰金融监管委员会,在乌拉圭东岸共和国银行,以及墨西哥国家银行和证券委员会黑客利用Liferay和JBoss中的漏洞来入侵站点。

操作系统和网络硬件漏洞


利用操作系统和网络设备的漏洞具有明显的优势,但这需要专业知识和技能。在没有深入了解其工作原理的情况下使用漏洞利用工具包将迅速使攻击成功无效:他们被黑客入侵,但无能为力。

MoneyTaker,Lazarus和Pawn Storm普遍存在漏洞攻击。前两组主要使用网络设备固件中的已知错误,通过VPN将其服务器引入公司网络,并通过它们执行进一步的操作。但是在Pawn Storm的武器库中,发现了危险的零日漏洞,没有任何补丁。它扫描具有已知漏洞的系统。

DNS攻击


这是我们仅使用Pawn Storm记录的一系列攻击。其他知名群体通常仅限于网络钓鱼和两到三种替代方法。

Pawn Storm使用多个级别的DNS危害。例如,在某些情况下,他们从DNS控制面板中窃取了公司凭据,并将MX服务器更改为自己的MX服务器,从而获得了对通信的完全访问权限。恶意服务器将所有邮件接收并发送给目标公司,而副本则归目标公司所有,黑客可以随时渗透到任何链中,并达到预期的结果,而这是无法发现的。

损害的另一种方法是完全控制DNS注册服务器的服务器。在许多国家中,注册服务商的数量很少,因此,对最大的注册服务商的控制获得了几乎无限的可能性,可以将大多数公共和私人组织引入信息交换,网络钓鱼和其他类型的影响。

发现


网络钓鱼不仅在脚本kiddis中流行,该脚本出租对恶意服务(例如网络钓鱼即服务或勒索即服务)的访问。这种方法的有效性和相对廉价使其成为最危险群体的主要武器,有时甚至是唯一武器。使用它的丰富选择权会落入罪犯的手中:在损害商务往来之前,大多数保护性解决方案都已通过,而用户的轻信和分心将在很长一段时间内为欺诈攻击提供可靠的支持。
与及时安装安全更新一起,保护计算机系统和网络设备无疑是一项重要的任务,但是考虑到网络犯罪策略的图表,与人为因素相关的保护措施首先出现。

从高级人员的邮件中截取的凭据将使犯罪分子能够窃取特别重要的敏感信息,然后使用此邮件和信息进行多次攻击。同时,普通的技能培训和MFA的使用将使黑客失去这个机会。

但是,防御系统也不会停滞不前,使用人工智能,深度学习和神经网络来检测恶意行为。许多公司正在开发此类产品,并且我们还借助经过专门培训的人工智能为客户提供保护,使其免受复杂的BEC攻击。将它们与对员工进行安全行为技能培训相结合,可以使他们即使是受过最严格技术培训的团体也能成功抵御网络攻击。

More articles:


All Articles