先进的持续威胁引起了很多的关注,当之无愧。摘要可以说是最危险的安全问题对于今天的商业组织来说,考虑到他们的目标自然。
一个恰当的攻击通常是由一个专业的组织比受害者组织在不同的国家,从而使执法。这些黑客组织通常分为专业团队一起工作渗透到公司网络和系统,提取尽可能多的有价值的信息。非法窃听其他公司是他们的日常工作。最擅长它。
专家意见,进行了妥协任何相关公司的信息基础设施。问题不是你是否已经被一个恰当的,但你是否已经注意到它。
我已经帮助公司打击和预防进行了将近十年。在此期间我积累了共享IT安全战壕的战争故事。这里有一些更好的真实故事,不只是为了追逐,但教训。
恰当的战争故事1:恰当的眼睛看着你
我曾经花了一年多的时间去回应一个恰当的攻击在跨国公司参与了从高科技卫星和枪支冰箱和教育。当我接到电话时,客户端已经受到另外两个恰当的攻击,这并不是不寻常的。大多数公司通常发现一个恰当的指出已经有好几年了。一个客户我已经被三个不同的恰当的团队在过去的八年里,不足为奇。
跨国终于认真打击攻击。整个团队一起被称为反应;一个大的专用工作小组成立;所有相关的专家。我们决定在未来几个月所有的密码将被重置。
你可能想知道为什么延迟重置密码。密码重置应该总是在很远的将来推出在这些情况下,因为没有使用更改所有的密码踢出一个合适的,如果你不能保证你可以防止坏人破坏。确定最相关的弱点,修复它们,然后更改密码。这是最好的防御。
在大多数公司和我一起工作,所有人都宣誓保密。建立了码字,所以团队可以讨论项目的各个方面(可能监控)邮件没有警告入侵者或员工没有参与。
在这个例子中,大的密码重置天原定配合公司年度棒球比赛,已制定了提高员工士气。由于这个原因,这个项目被称为“公司棒球比赛,”公司的名称改变来保护其身份。从那时起,没有人提到APT或密码重置。一切都是关于棒球比赛。
公司的系统被完全破坏,所以购买新笔记本电脑和无线路由器。所有与项目相关的工作要执行这些笔记本电脑在一个安全的无线网络,以防止任何意外泄漏的信息项目,无论代码字母使用。
项目的一个方面是在公司解决域管理员的过剩。有太多——总之,超过1000人。我们建立了营地的许多高管会议室我们使用的项目,开始讨论该怎么做。
我们不能决定哪个域管理员真的需要,我们可以禁用,所以我们决定禁用“公司棒球比赛”一天,并迫使那些真正需要的域管理员访问重申他们的需要。我们起草了一份域管理员访问请求的形式在一个项目的笔记本电脑,叫它一天。我们会发送表单之前“公司棒球比赛”天,以便每个人需要一个域管理员帐户可以得到一个及时做好准备。
第二天早上7:30左右。同样,我进入行政会议室。项目经理已经在那里了。他抬头看着我,他的眼睛有点比平常更广泛的早期小时,说,“这是我们的前两个域管理请求,”他翻我。
域管理员请求他意味着什么?形式不是草案阶段,不是计划出去好几个月了。他们站在那儿,两种精密“域管理员访问请求”形式。他们有一些很小,但很明显的错误,那么很明显他们不从我们最初的草案。填满了每一个团队成员属于一个外国子公司,目前域管理员访问。他们请求恢复域管理员权限的原因吗?因为当前的访问是在棒球比赛的一天。
直到今天,我仍然不能相信。我拿着两种形式,不应该存在。唯一的草案是一台笔记本电脑上一个气隙网络。被我们宝贵的秘密项目代码。惊讶的是由团队成员传递给另一个团队成员的形式给他们的消息。
经过调查,我们发现恰当的内部人士的带领下,已经渗透到所有行政会议室使用数据显示投影仪和视频会议系统。他们正在看和消化我们所有的秘密会议。他们唯一的错误是不理解的形式并不真正存在,也将发出了好几个月了。谢天谢地,语言障碍。
教训:如果你的会议设备网络和语音或视频记录的能力,确保你进行会议之前禁用它们。
恰当的战争故事二:并不是所有的摘要都是专家认为一样先进
这是一个恰当的团队的故事,已经完全控制一个公司的网络。他们积极创建连接在网络上,白天还是晚上,我叫来了。他们除了关心他们是否被发现。
摘要几乎肯定将所有密码散列和使用通过散列(甲状旁腺素)工具接管其他组织的网络。在这种情况下,客户决定是时候禁用这些弱LAN Manager (LM)密码散列,微软建议禁用了至少10年,并试图禁用默认情况下至少自2008年以来。这个特殊的恰当使用捕获的LM密码散列做肮脏的工作。
我告诉客户这个提议不会工作,因为在默认情况下,至少存在两种类型的Windows密码散列在微软认证数据库:LM和NT哈希。袭击者下载两种类型,甲状旁腺素处理可以使用他们的工具。我甚至显示客户端攻击者的工具如何语法建于LM和NT哈希之间切换,一个很常见的甲状旁腺素攻击工具的功能。更糟糕的是,即使你禁用LM哈希表的存储,他们仍然在内存中创建当有人登录。听起来很疯狂,但这是Windows是如何工作的。
客户不会劝阻。不顾我的抗议的浪费精力,禁用LM哈希和重置密码。现在当地和Active Directory数据库包含没有可用的LM的密码散列。你知道这工作吗?
这工作,因为恰当的团队从未使用过另一个密码散列来执行其攻击。说实话,他们只是转移到其他方法(见下文),但甲状旁腺素攻击停止了。事实证明,恰当的团队甚至不知道自己的工具。你可以想象他们必须有内部的讨论当所有的LM哈希表消失,包括耸耸肩和头脑风暴的新策略。
教训:“高级”可能包括在贴切的名字,但并不是所有恰当的攻击者都是先进的。另外,有时专家是错误的。我没有错误的技术,但这并没有阻止客户正在寻找结果是相同的。它让我变得谦逊。
恰当的战争故事3号:药物可能是毒药
作为一个全职的微软安全顾问,我经常被问到在恰当的活动由其他公司工作;我是一个资源,而不是项目负责人。和我一起工作的还有一个安全咨询公司足以知道许多非正式员工和顾问,如果不是个人。我们了解我们的角色是什么,取决于谁第一,使朋友CIO,假设领导。我们的伙伴关系一直友好,虽然竞争。毕竟,最好是一个领导者,而不是一个跟随者。
这个安全咨询公司是众所周知的战斗了,甚至销售检测软件的帮助。经常活动,成功销售软件,让它在每台计算机上安装的环境。我很习惯看到其服务运行在Windows任务管理器。
在这个特别的故事,安全咨询公司到达第一,拯救了天,继续前行。它还成功地安装的软件在整个组织中,在近一年没有现场。任何人都知道,客户一直以来APT-free最初的补救措施。至少没有人发现任何迹象。
我是一个大的粉丝“粘蜜罐”。蜜罐是软件或设备存在简单的攻击。它可以是一个未使用的电脑、路由器或服务器。honeypot可以模仿任何东西,他们都是很好的检测之前察觉对手,所以我经常推荐。这可能是一个退役的电脑,没有人应该连接或服务。当黑客或恶意软件连接,蜜罐发送警报时,可以触发立即事件反应。
在这个例子中,我花了几天帮助客户部署一些“粘蜜罐”。大多数客户问我如何吸引黑客“粘蜜罐”。我总是笑,回答同样的道:“别担心,他们会来。”Indeed, every honeypot I've ever set up has detected nefarious activity within a day or two. These new honeypots were no different.
我们发现网络登录尝试来自多个工作站,其中没有一个有合法理由登录。我们的工作站和法医检查硬盘。我们发现恰当的放了一个远程接入的木马。特洛伊的名字吗?一样的anti-APT检测软件。坏人已经有人代替合法anti-APT木马软件,结果发现他们在几乎每一个电脑。
这解释了一些事情,就像为什么没有恰当的被检测到。但更大的问题是它怎么安装在第一位。原来客户的“黄金构建”一直在构建环境妥协,这个木马是构建的一部分。
教训:第一,验证建立的完整性;防止未经授权的修改或发明一些检测方法。第二,“粘蜜罐”是一个伟大的方式来检测恶意活动。第三,总是寻找并研究奇怪的网络连接从意想不到的地方。
恰当的战争故事4:你所有的PKI基础属于我们
恰当的攻击公钥基础设施(PKI)服务器是很少见。事实上,直到两年前,我从未亲自跑过一个恰当的PKI服务器被涉及。现在,这是相当常见的。但最相关的故事是一个PKI变成物理访问在一个敏感的地区。
这个特殊的客户利用其内部PKI服务器创建员工智能卡)。这些智能卡不仅被用来登录电脑但物理访问公司的建筑和其他基础设施。
客户的根CA(认证机构)服务器是一个虚拟实例,残疾,VMware主机服务器。坏人发现了它,复制它离线,破解当地(弱)管理员密码,并生成自己的信任下属CA。他们用这个CA发行PKI获得一切。
使我十分惊讶的视频我的客户给我看了两个未知的男人假扮成员工。使用假的智能卡)创建,他们停在他们的汽车公司内部安全的停车场,通过员工入口走进建筑,地板上,存储高度敏感数据。
我的客户不告诉我发生了什么事之后,或者是什么,但是我知道他们并不快乐。房间里有一个非常严重的情绪。我被邀请来帮助他们创建一个新的公钥基础设施PKI和迁移到得到更好的保证环境。
教训:保护你的PKI CA服务器。离线中科院应该只是:离线!他们不应该被禁用或坐在网络的网卡禁用,但网络,存储在一个安全的,不是那么容易妥协。CA私钥应该保护的硬件存储模块设备,和所有相关的密码应该很长(15个字符或更多)和复杂的。另外,它不会伤害寻找和监控如果其他未经授权的CAs添加为信任的ca。
不恰当的战争故事。5:不要忘记你的账户你不应该联系