비디오: ë¨ê´í ê±´ 주ìì¸ ì¢ ëª©ë¶ì(주ì,ì¦ê¶) (십월 2024)
"Advanced Persistent Threat"라는 문구는 특정 이미지, 헌신적 인 해커의 간부, 새로운 제로 데이 공격에 대해 끊임없이 파고, 희생자 네트워크를 면밀히 모니터링하고, 데이터를 조용히 훔치거나 비밀 파괴를 수행합니다. 결국 악명 높은 Stuxnet 웜은 목표를 달성하기 위해 여러 개의 제로 데이 취약점이 필요했으며 Stuxnet 스핀 오프 Duqu는 적어도 하나를 사용했습니다. 그러나 Imperva의 새로운 보고서에 따르면 훨씬 덜 복잡한 수단을 사용하여 이러한 종류의 공격을 시작할 수 있습니다.
문에 발
이 보고서는 엔터프라이즈 서버에 저장된 기밀 정보 이후에 발생하는 특정 공격에 대해 자세히 설명합니다. 중요한 것은 이것입니다. 공격자는 절대로 서버에 공격을 가하지 않습니다. 오히려 네트워크에서 가장 안전한 장치를 검색하여 손상시키고 필요한 권한 수준에 대한 제한된 액세스를 조금씩 제한합니다.
초기 공격은 일반적으로 대상 "스피어 피싱"이메일을 작성하는 데 필요한 정보를 찾는 피해자 조직에 대한 연구로 시작됩니다. 한 명의 불운 한 직원이나 다른 사람이 링크를 클릭하면 나쁜 사람이 초기 발판을 얻었습니다.
네트워크에 대한 이러한 제한된 액세스를 사용하여 공격자는 트래픽을 감시하고 특히 권한있는 위치에서 손상된 엔드 포인트로의 연결을 찾습니다. NTLM이라는 매우 일반적으로 사용되는 인증 프로토콜의 취약점으로 인해 암호 또는 암호 해시를 캡처하여 다음 네트워크 위치에 액세스 할 수 있습니다.
누군가 물웅덩이에 중독되었습니다!
네트워크에 추가로 침투하기위한 다른 기술로는 회사 네트워크 공유가 있습니다. 조직에서 이러한 네트워크 공유를 통해 정보를주고받는 것이 매우 일반적입니다. 일부 주식은 민감한 정보를 보유 할 것으로 예상되지 않으므로 덜 보호됩니다. 모든 동물이 정글 물웅덩이를 방문하는 것처럼 모든 사람들이이 네트워크 공유를 방문합니다.
공격자는 이미 손상된 시스템과 통신을 수행 할 수 있도록 특수하게 조작 된 바로 가기 링크를 삽입하여 "우물을 독살"합니다. 이 기술은 배치 파일을 작성하는 것만큼이나 고급입니다. 모든 폴더에 사용자 정의 아이콘을 할당 할 수있는 Windows 기능이 있습니다. 나쁜 사람들은 단순히 손상된 시스템에있는 아이콘을 사용합니다. 폴더가 열리면 Windows 탐색기에서 해당 아이콘을 가져와야합니다. 인증 프로세스를 통해 손상된 시스템을 공격 할 수있는 충분한 연결입니다.
조만간 공격자는 대상 데이터베이스에 액세스 할 수있는 시스템을 제어 할 수 있습니다. 이 시점에서 필요한 것은 데이터를 사이펀 (Siphon)하여 추적하는 것입니다. 피해를 입은 조직은 무엇을 공격했는지 알 수 없습니다.
무엇을 할 수 있습니까?
전체 보고서는 실제로 간단한 설명보다 훨씬 자세하게 설명되어 있습니다. 보안 담당자는 반드시 읽고 싶어 할 것입니다. 어려운 것들을 기꺼이 훑어보고 싶어하는 비 승인들은 여전히 그것으로부터 배울 수 있습니다.
이 특정 공격을 차단하는 좋은 방법 중 하나는 NTLM 인증 프로토콜 사용을 완전히 중지하고 훨씬 안전한 Kerberos 프로토콜로 전환하는 것입니다. 그러나 이전 버전과의 호환성 문제로 인해 이러한 이동이 극히 드 like니다.
보고서의 주요 권장 사항은 조직이 네트워크 트래픽을 면밀히 모니터링하여 정상과의 편차가 있는지 확인하는 것입니다. 또한 높은 권한 프로세스가 엔드 포인트와 연결되는 제한 상황을 제안합니다. 충분히 큰 규모의 네트워크가 이러한 종류의 비교적 간단한 공격을 차단하기 위해 조치를 취하면 공격자는 실제로 중단되어 진정으로 진보 된 무언가를 생각 해낼 수 있습니다.
