|
这些类型的工具的功能在很大程度上依赖于用于识别的漏洞以及在整个网络中传播方式的算法。这些工具的危险性就在于它们的行为像自动蠕虫一样,如果配置不当或未正确监控,则可能会对所评估的系统造成实际的危害或系统性能下降。事情可能会出差错的可怕情况有上百万种,而且可能有同样多的解决方案可以使用内置的逻辑来避免它们。但是,你在自动化利用框架的决策矩阵中建立的逻辑越多,它就会变得越麻烦,并且越依赖于人工干预。这些技术中的这种依赖会很快超过它们所提供的好处,因为它们需要过多的看护或使用过多的计算资源,因此无法提供比道德黑客更大的成本效益。
就红队的创新而言,这第三类工具——既利用漏洞又移动渗透主机——让红队在竞争中牢牢地领先,通过使用自动化来取代真正的人类黑客。这就是我在阐述需要有道德的人类黑客时重点分解的能力类型。
既利用漏洞又移动渗透主机的技术
此类技术尝试执行漏洞利用,然后利用通过漏洞利用获得的访问权限来自动扫描并转移到其他计算机。听起来是不是很像蠕虫?,那是因为它本身就是蠕虫。相信有些读者也见过此类安全工具。这些技术依赖于前两类学术方面建议的红队替换工具中的概念。他们需要漏洞评估功能以及关系建模功能。这些概念的结合使第三种技术可以识别漏洞,并利用识别到的漏洞来访问系统,然后从新确定的角度继续进行漏洞评估——所有这些都是以一种自动化的方式进行的,这种方式由基于选择的攻击建模的关系目标逻辑驱动(图2-4)。
学术界中的这类技术研究确实有各种各样的目标。从纯粹专注于特定类型的软件(例如数据库或网页)的技术到自动尝试对整个网络进行表层漏洞评估。
这些技术是一种不需要道德黑客参与的解决方案。精通信息技术(IT)的人员完全可以在网上下载漏洞利用工具,填写好他们想要执行安全评估的目标,然后点击“执行”。此类别中的一些工具试图反复绕过安全机制,并对数据库或网页执行漏洞利用,然后将发现的漏洞报告给使用该工具的人员。其他技术还包括自动扫描技术,该技术能够评估执行位置范围内的任何内容。
在替代红队的技术方面,有一种技术操作起来并不是很痛苦,那就是执行漏洞扫描程序。在学术界内,漏洞扫描程序被许多学术人员当作自动化实现红队的技术。只进行漏洞扫描的问题具有两面性。首先,它不代表对企业组织发起实际攻击,甚至不模仿实际攻击的效果。其次,它仅评估从执行点到目标主机的漏洞,这可能使网络环境中的很多攻击面都未被评估到。
这一类别中最好的解决方案是那些分发到网络中的所有终端的解决方案。尽管这不能代表攻击或其影响,但是这些解决方案确实可以对部署环境进行深入评估。其中的一些技术是安装在CD或USB驱动器上的小型操作系统,因此可以在网络上进行物理移动以便从不同角度收集漏洞详细信息;有些更像是跨多个系统安装的分布式端点安全产品。即使是这些系统也很少真正受到攻击者攻击,而且它们都没有试图利用某个已经被攻破的系统或应用程序以真实的攻击来进一步传播。
除了为实现这种方法所做的学术努力之外,还有一些这类的行业案例。Offensive Security 提供了db-autopwn 自动利用工具。同样,其他付费安全框架也具备自动执行漏洞利用选项,通常都是依赖 db-autopwn 或在其上进行模仿和构建。这些技术提供了在扫描主机后对主机执行漏洞利用的其他功能,但是在攻破主机后仍然没有进行移动渗透主机操作(图2-3)。
在四周的时间里,攻击者利用从高级管理人员的收件箱中收集到的信息,小心地推进了他们的计划。他们在适当的时候利用假域名接管了对话,为资金转移提供了修改过的细节。
第二阶段-保护战利品
不过,这并不是结束。当资金流向错误的账户时,银行可以锁定交易,并及时标记错误。威胁参与者很清楚这一细节,并为这一阶段做好了准备。
为了隐藏盗窃行为,直到他们把钱转移到外国银行并使其永远丢失,攻击者使用收件箱过滤规则将邮件从特定的电子邮件地址移动到一个隐藏的文件夹中。
这一举动让合法收件箱拥有者不知道有关汇款的沟通。米蒂亚说,这场戏持续了大约两周,足以让这名演员的1500万美元消失。
Midge在这起事件中的作用是调查受害者公司意识到他们的钱输给了网络罪犯之后发生了什么。研究人员正在帮助联邦调查局和美国特勤局追踪袭击者。
通过遵循一组简单的建议,组织可以加强对此类攻击的防御,其中包括在Office 365中启用双因素身份验证和防止电子邮件转发到外部地址。
此外,Midge建议:
-
强制Office 365密码更新
-
考虑阻止电子邮件自动转发,让网络罪犯更难窃取你的信息
-
搜索收件箱中的隐藏文件夹
-
阻止可用于规避多因素身份验证的旧电子邮件协议,如POP、IMAP和SMTP1
-
确保对邮箱登录和设置的更改被记录并保留90天
-
启用对可疑活动(如外部登录)的警报,并分析服务器日志中是否存在异常电子邮件访问
-
考虑订阅域管理服务
-
提高对电汇交易的认识和审查控制(除了电子邮件,还包括电话验证,以及验证签名和帐户)
(编辑:威海站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
