大多數(shù)人都認為應該防止黑客的入侵，但是一旦黑客進入了你們內部，他們又是如何將數(shù)據(jù)弄到外面的?Trustwave公司SpiderLabs的研究向我們揭示的答案往往非常簡單。

網絡犯罪分子在攻擊的方法上變得越來越復雜。我們也往往將此等同于數(shù)據(jù)潛回的方法。盡管移動設備或物理盜賊也可以利用，但是數(shù)據(jù)的潛回或輸出通常都是在網絡渠道的系統(tǒng)上復制數(shù)據(jù)過程中發(fā)生的。

SpiderLabs 2009年對24個不同國家的200起數(shù)據(jù)違規(guī)事件進行了調查。雖然網絡犯罪分子從違規(guī)環(huán)境中獲取數(shù)據(jù)的方法多種多樣，但是他們入侵某個環(huán)境的方法往往都是通過遠程訪問那些被目標企業(yè)使用的應用程序。在SpiderLabs的調查中，45%的違規(guī)事件是因為遠程訪問應用而使系統(tǒng)遭到違規(guī)的。并且不是零日漏洞攻擊或復雜的應用程序漏洞，攻擊現(xiàn)象看起來與IT員工和CEO在外出過程中遠程連接網絡并無太大差異。攻擊者也不需要通過蠻力獲得賬戶。SpiderLabs發(fā)現(xiàn)，90%的攻擊事件得以成功因為供應商違約或易被猜透的密碼，例如"temp:temp"或"admin:nimda" 。

一旦確立一個立足點，攻擊者往往使用網絡列舉工具。網絡列舉工具往往被攻擊者用來挖掘同一環(huán)境中的其他目標或檢索系統(tǒng)信息用，例如用戶名、組權限、網絡共享和可用服務。如果列舉工具收集到了噪音就可以排除受到攻擊的可能。糟糕的是，我們發(fā)現(xiàn)多數(shù)機構都沒有適當?shù)貙ψ约旱南到y(tǒng)進行監(jiān)測，因此無法覺察到這些現(xiàn)象。

作為一種工具，它可以讓攻擊者通過可信的私人電路進入別的酒店物業(yè)系統(tǒng)。不法分子隨后利用內部連接，最終導致那些物理分布比較分散的站點的數(shù)據(jù)被違規(guī)。

一旦攻擊者獲得目標企業(yè)的訪問權限，他們就會使用手動或者自動的方法獲取數(shù)據(jù)。使用手動方法可以盜取有漏洞的數(shù)據(jù)庫和文件，使用特定的關鍵字進一步確定數(shù)據(jù)就可進行操作系統(tǒng)的搜索。

自動的方法主要是編寫專門的惡意軟件，利用處理機密信息的應用程序的安全控件中的漏洞來達到目的。一般來說，許多應用的安全設計并不適用于別的控件，數(shù)據(jù)處理組件的報警功能也不明確。雖然數(shù)據(jù)是由目標系統(tǒng)處理的，但可接收、儲存加密數(shù)據(jù)并將數(shù)據(jù)傳輸?shù)缴嫌沃鳈C的目標系統(tǒng)易受到數(shù)據(jù)違規(guī)。這是因為系統(tǒng)處理數(shù)據(jù)必須被解密為RAM，以便應用程序可以使用。在這一過程中，2009年網絡犯罪分子多次使用RAM解析器。67%的SpiderLabs調查與惡意軟件有關，說明自動工具被用來獲取非RAM的數(shù)據(jù)。

如何應對

平均來說，網絡犯罪分子獲取目標系統(tǒng)或數(shù)據(jù)訪問權限的時間是156天。在這段時間內，攻擊者進入環(huán)境，設置他們的工具來移動數(shù)據(jù)，并在IT人員或部門對他們的行動采取行動之前獲取數(shù)據(jù)。2009年的一些調查顯示，一些網絡犯罪分子經常在三年內頻繁活動。2009年比較典型的長期的檢測，似乎還運用了一些知識，網絡犯罪分子的活動不是隱形的。

在38個案例中，網絡犯罪分子使用遠程訪問程序方便第一次進入提取數(shù)據(jù)。其他的現(xiàn)有服務，如本地FTP和HTTP客戶端功能，也經常被用來進行數(shù)據(jù)滲漏。尤其是當惡意軟件被用來數(shù)據(jù)滲漏的時候，F(xiàn)TP、SMTP和IRC功能就會被定期觀察。在對特制惡意軟件進行逆向分析的過程中，二進制會泄露FTP功能的存在，包括硬編碼IP地址和證書。有了現(xiàn)成的惡意軟件，如按鍵記錄器，攻擊者往往用內置的FTP和郵件功能滲漏數(shù)據(jù)。當郵件服務被用來提取數(shù)據(jù)的時候，攻擊者往往會直接安裝惡意的SMTP服務器到遭受違規(guī)的系統(tǒng)中，以確保數(shù)據(jù)可以正常地傳送。

只有個別情況的數(shù)據(jù)滲漏使用了加密渠道，進一步表明犯罪分子不關注警報是否存在。由于本地可用網絡服務的存在，以及缺乏適當?shù)某隹谶^濾并且使用了不適當?shù)南到y(tǒng)檢測做法，犯罪分子往往使用可用的網絡服務或安裝他們自己的基礎服務。

很顯然，在所有的案例中，敏感數(shù)據(jù)被輸送到了目標環(huán)境之外。在這一過程中，IT安全團隊根本不會監(jiān)測到數(shù)據(jù)泄漏的發(fā)生。

在尋找攻擊跡象的時候，IT安全團隊似乎期望情況時復雜的。而攻擊者往往非常簡單，甚至可能在例行的日志審查中表現(xiàn)為“良性”。數(shù)據(jù)沒有離開目標環(huán)境之前，不會有跡象表明遭到了違規(guī)。密切關注“標準”系統(tǒng)的“正常”活動行為是避免亡羊補牢的重要措施。應該用懷疑的視角審視每一個不正常的行為并通過內部調查的做法解決問題，如果必要的話還應該請外部專家進行再審。

原文鏈接：http://netsecurity.51cto.com/art/201101/243693.htm

標簽： 安全 標準 服務器 漏洞 企業(yè) 權限 數(shù)據(jù)庫 搜索 網絡 問題 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。