有针对性的网络攻击与大规模黑客攻击的不同之处在于,它们针对的是特定的公司或组织。 此类攻击最为有效,因为它们是使用收集的有关受害者的信息进行计划和个性化的。 这一切都始于信息的收集。 通常,这是操作中最长且最费力的部分。 然后,您需要准备并进行攻击。 从外部看,一切看起来都很复杂,而且似乎只有精英饼干才能做到这一点。 但是,现实看起来有所不同。
如果
在2017年非目标攻击的份额为90% ,而目标仅为9.9%,则在2018年和2019年
,精确目标攻击的数量稳步增长 。 如果它们很难执行,为什么还有更多呢? 以及如何进行现代的有针对性的攻击,为什么黑客从大规模攻击转变为有针对性的攻击? 为什么与知名网络集团有关的此类事件的数量没有看起来那么大? 让我们做对。
想象一下一群黑客决定攻击一家生产牙签的工厂,以便窃取其生产的秘密并将其出售给竞争对手。 考虑这种攻击可以包括哪些阶段以及为此需要哪些工具。
阶段1.信息收集
黑客需要收集有关工厂,工厂管理层和员工,网络基础架构以及供应商和客户的尽可能多的信息。 为此,攻击者使用漏洞扫描程序检查工厂站点和属于企业的所有IP地址。 根据公共资源,将编制一份雇员名单,研究他们在社交网络上的资料以及他们经常访问的站点。 根据收集到的信息,准备攻击计划,并选择所有必需的实用程序和服务。
工具:漏洞扫描程序,网站日志记录服务,电子邮件和网站凭据被盗。
阶段2.入口点的组织
利用收集到的信息,黑客正在准备渗透到公司的网络中。 最简单的方法是利用恶意附件或链接来仿冒电子邮件。
罪犯不需要具备社交工程技能或针对不同版本的浏览器开发Web漏洞利用程序-您所需的一切都可以通过黑客论坛和Darknet上的服务形式获得。 这些专家将以相对较低的费用根据所收集的数据来准备网络钓鱼电子邮件。 网站的恶意内容也可以作为恶意代码安装即服务服务购买。 在这种情况下,客户无需深入研究实施细节。 该脚本将自动检测浏览器和受害人的平台,并进行利用,使用适当版本的利用来引入和渗透设备。
工具:
“恶意代码即服务”服务 ,一种用于开发恶意网络钓鱼电子邮件的服务。
步骤3.连接到管理服务器
进入工厂的网络后,黑客需要一个桥头堡来保护和采取进一步的行动。 它可以是装有后门的受感染计算机,可以在专用的“防弹”托管(或“防投诉”,也可以是“防弹”或BPHS-防弹托管服务)上接受来自管理服务器的命令。 另一种方法涉及直接在企业基础架构(在我们的情况下为工厂)内部组织管理服务器。 同时,您不必隐藏网络上安装的恶意软件和服务器之间的流量。
消息来源:趋势微网络犯罪市场以成熟的软件产品的形式为此类服务器提供了多种选择,甚至为其提供了技术支持。
工具:“容错”(防弹)托管,C&C服务器即服务。
阶段4.横向位移
事实并非如此,访问工厂基础设施中的第一台受损计算机将提供一个获取有关卷发牙签生产信息的机会。 要找到他们,您需要了解主要秘密的存储位置以及获取方式。
此阶段称为“横向运动”(横向运动)。 通常,使用脚本来执行此操作,自动进行网络扫描,获取管理特权,从数据库中删除转储以及搜索存储在网络上的文档。 脚本可以使用操作系统实用程序,也可以下载可用的原始设计,但需要额外付费。
工具:用于扫描网络,获取管理权限,清除数据和搜索文档的脚本。
阶段5.攻击支持
过去,黑客不得不坐在终端机中埋葬自己以伴随攻击并在敲击各种命令时不断敲键的时代已经成为过去。 现代网络罪犯使用便捷的Web界面,面板和仪表板来协调工作。 攻击的阶段以视觉图形的形式显示,操作员会收到有关出现问题的通知,并且可以提供各种解决方案来解决它们。
工具:网络攻击控制面板
阶段6.信息盗窃
一旦找到必要的信息,就必须尽快将其从工厂网络传输到黑客。 必须将传输伪装成合法流量,以便DLP系统不会注意到任何东西。 为此,黑客可以使用安全连接,加密,打包和隐写术。
工具:加密器,加密器,VPN隧道,DNS隧道。
进攻结果
我们的假设黑客很容易地渗透到工厂网络中,找到了客户所需的信息并将其窃取。 他们所需要的只是租用黑客工具的费用相对较少,他们通过将牙签的秘密卖给竞争对手而获得了不小的补偿。
结论
在Darknet和黑客论坛上,可以轻松进行有针对性的攻击。 任何人都可以购买或租用工具包,而且供应量如此之高,以至于卖方提供技术支持并不断降低价格。 在这种情况下,浪费时间将蜂鸟射出大炮并进行大规模的恶意活动是没有意义的。 更大的回报将带来一些针对性的攻击。
优秀的黑客组织还紧跟潮流并分散风险。 他们知道进行攻击是危险的,尽管有利可图。 在准备攻击以及它们之间的停顿期间,我也想吃东西,这意味着额外的收入不会受到伤害。 那么,为什么不让其他人使用他们的设计来获得丰厚的回报呢? 这就产生了大量的出租黑客服务,并且根据市场规律,导致其成本降低。
消息来源:趋势微结果,进入目标攻击领域的门槛降低了,分析公司的数量逐年增加。
网络犯罪市场上工具的可用性的另一个后果是,现在将APT团体的攻击与租用其工具的罪犯进行的攻击更加难以区分。 因此,防范APT和无组织的网络犯罪分子需要采取几乎相同的措施,尽管需要更多资源来应对APT。
作为识别APT黑客行为的经验标准,只有攻击的复杂性和独创性,使用地下市场无法获得的独特开发和利用以及对工具的更高水平的了解。