SANS专家在RSA会议上向大家展示了未来攻击方式的趋势。
该项研究由SANS主管John Pescatore主导,Counter Hack Challenges创始人兼SANS研究员Ed Skoudis、SANS研究院长Johannes Ullrich以及Michael Assante参与其中。SANS项目将为工业控制系统(ICS)和监控和数据采集(SCADA)的安全服务。每个参与者都展望了明年将会获得关注的攻击技术同时他们也提供了自己对网络威胁演变的看法。
一、攻击者将会慢慢“消费”数据漏洞
据Skoudis描述,将会有越来越多的组织机构需要面对攻击者,不仅是了解他们如何窃取信息的,还要知道他们如何将信息传播的,特别是如果攻击者想公开羞辱他们的目标。
“我说的当然就是索尼公司的情况。攻击者不是仅仅将偷到的大数据直接对外泄漏,而是一点点的曝光。这么做造成更大伤害的原因是索尼根本不知道该如何回应。攻击者在第三天、第四天的爆料让索尼在第一天所作的的回应听起来愚蠢至极。因此这样对索尼来说造成的损失不仅仅是数据泄露,他们好像在与魔鬼打拳一般。”
Skoudis建议组织机构开始演练包括信息泄露响应在内的场景。
二、微软Kerberos正在挨打
科普:Kerberos
Kerberos是由美国麻省理工学院提出的基于可信赖的第三方的认证系统;提供了一种在开放式网络环境下进行身份认证的方法,它使网络上的用户可以相互证明自己的身份;采用对称密钥体制对信息进行加密。其基本思想是:能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证。
正如Pass the Hash攻击在2011年回归主流一样,Skoudis解释说他与其他专家一直以一些不常提及的攻击对象作为讨论的起始,例如微软的Kerberos,但情况有了转变。
“发生了什么呢?我们通过了访问许可并能够实施攻击。一旦一个坏人黑进这个系统中的机器——用户的机器或者是服务器——它能够窃取Kerberos发给用户应用服务器的许可证。”
Skoudis进一步解释了攻击者在10小时内可以对这些访问许可证加以利用并造成许多伤害。
三、对IoT漏洞基于现实的利用将增多
Skoudis警告说,随着更多超越手机和平板的网络应用侵入你的生活,未来将更加无孔不入,无论是打印机或是无线路由器,IoT的更多漏洞将直接影响到企业。目前嵌入式硬件设备变得十分廉价,因此漏洞造成的伤害将升级。
“当一切不同的事物进入这个环境中,如果你不知道漏洞出现在哪里,那你便无法抵御它。”
不幸的是这些设备通常对一些古老的攻击以及传统方式无力抵抗。但是这些常见的漏洞将在IoT设备中造成新的、无法预测的后果。
Skoudis举了个例子,他和他的团队发现一台设备受到一个简单的跨站点脚本攻击便遭到了无可逆转的破坏。
“你可以对一个设备发动跨站点脚本攻击,它就被毁了。看,我相信你或许和我一样见多很多跨站点脚本攻击,但是我从未见过它能毁了一台设备。这简直太疯狂了。”
四、加密技术成为安全的亦敌亦友
加密技术成为安全的首位敌友,不仅仅是因为在在执行欠佳的时候加密能解决问题(如“心脏滴血”和“BASH”漏洞),还因为它能够被用于对付你自己。
当加密勒索软件数量增多时,这在很大程度上被视为是一个消费者问题。但是当攻击者开始切换他们的加密勒索软件交付技术时情况将发生变化。
企业可能会认为泄漏的信息比加密的信息更重要一些,因为加密的信息都有备份。然而当备份被攻击者加密之后情况就不同了。例如攻击者通常会试图黑进NAS及其他设备的备份以便执行针对公司的勒索软件攻击。攻击者利用web应用程序的漏洞进入web服务器中,然后在一段时间内有效地加密数据,最终在索要赎金前消除加密。因此所有在过去六个月内变化过的数据(特别是web服务器)现在都设了加密,其中也包括所有近六个月内的备份。现在你会发现你的网站有大量向你索要赎金的通知,不付的话你就找不回你的数据了。
五、DoS攻击呈增长趋势
DoS攻击在过去几年中都是一个很严重的问题,而在大多数情况中,企业已经开始学会如何去适应它了。
攻击者会专注于实际应用。因此有了七层DoS攻击。相对流量水平较低的像是几百兆位或者一千兆位的,攻击者能对应用程序造成严重的危害甚至使之无法使用。
此外,攻击者不是通过反射DNS服务器攻击的,也不是使用了拒绝服务攻击僵尸网络,而是通过来自真实用户的请求。
六、ICS成为攻击目标
攻击者对如何追踪工业控制系统越来越精通了,现在甚至有了定制ICS漏洞的现象,这可是个新消息。这意味着对手对此进行了很多的思考与关注。
此外,攻击者对ICS系统内的特定功能加以利用,同时了解传递的重要性。
“攻击者也证明了目前有许多控制系统至少是隐藏在一个防火墙——即一个逻辑分割之后的。他们同样在思考以及研究如何专注于传送而不是净负荷。黑客要如何进入他们想去的地方?以及我们同样关注的一件事,ICS信任关系。”
结果,针对生产工程师和这些领域的钓鱼攻击提高了等级,同样增加的还有针对带有ICS工程师信息网站的水坑攻击。更可怕的还有攻击者开始装置可用于更新固件的ICS文件及构件并且在供应链中寻找可以替代它们的方式以使恶意软件通过防火墙进入生产环境。