變更密碼和移除惡意軟體並不足以化解APT攻擊

2021-06-27 06:48:45 字數 2384 閱讀 8274

說到apt攻擊——高階持續性威脅 (advanced persistent threat,apt) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報**收集資料,還可能會收集電子郵件位址、ip位址範圍和聯絡人列表等資料,然後將其用來製造釣魚郵件的誘餌,最終可以讓他們滲透進入目標組織的網路。

一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行埠掃瞄、服務掃瞄、網路拓撲映像、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的訪問方式。

橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全裝置部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。

他們可以利用這新發現的資訊,甚至是在他們的企圖被發現之後。一般情況下,阻止現有的和防止新的攻擊包括移除惡意軟體和監控網路活動,但由於攻擊者已經知道網路拓撲架構,就可以嘗試新方法來輕易地取得訪問許可權而不被發現。

在本文中,趨勢科技想要談論it管理員如何利用網路拓撲來幫助防禦企業網路以解決針對性攻擊所帶來的風險。

變更網路拓撲

網路拓撲指的是裝置在網路內如何連線,不管是實體上和邏輯上。這個名詞是指連到網路的所有裝置,無論是計算機、路由器或伺服器。因為它也提到這些裝置如何連線,所以網路拓撲還包括了密碼、安全性政策等等。

如果被當作目標的企業變更了網路拓撲,攻擊者所取得的資訊將會在攻擊中變得無用。如果不法分子試圖用舊方式來進入網路,就會被新部署的安全政策標記,像是移動目標資料的「位置」或移動區段這樣的變化會讓攻擊者需要更長的時間來找到目標資料。這多出來的時間非常寶貴,因為它可以讓管理員有更多時間在造成任何實際損害前先偵測到惡意活動。

以下圖中的網路拓撲為例。這個網路依賴於乙個防火牆來阻擋外來的攻擊,越過防火牆後,有三颱計算機,標記為pc-1、pc-2和pc-3,還有乙個後端檔案伺服器。

(網路拓撲範例)

攻擊者可以利用釣魚郵件來入侵pc-1,也就是針對性攻擊的第一步(這裡記為「步驟一」)。一旦pc-1被入侵成功,攻擊者接著會進行服務掃瞄。這一掃瞄可以讓攻擊者發現其他連線的裝置,包括pc-2、pc-3和伺服器。接著,攻擊者可以通過暴力密碼破解來入侵pc-2和pc-3(記為步驟二)。

(攻擊者可以通過網路釣魚郵件來侵入一台計算機,然後嘗試訪問網路內的其他裝置)

當it管理員發現這次攻擊時,他們可能會將注意力放在pc-1,因為它是第乙個受影響的裝置和被作為進入點,精力會花費在移除pc-1中所找到的惡意軟體。他們卻不知道攻擊者可以之後再回來,這次會用pc-2或pc-3來從檔案伺服器竊取資料。 

攻擊者仍然可以「重新入侵pc-1」,只要利用新的密碼組合或暴力攻擊。it管理員可以再一次地移除惡意軟體,但他們不知道攻擊者會一次又一次地設法進入和入侵系統。

為了解決針對性攻擊問題,it管理員可以變更網路拓撲。通過加入另乙個防火牆和**伺服器以及改變檔案伺服器的訪問安全性政策就可以完成對網路拓撲的變動。新的安全政策將只允許通過新的**伺服器來訪問檔案伺服器,任何直接形式的訪問都會被新防火牆拒絕,而it管理員也會收到警告。

(變更的網路拓撲架構)

因為攻擊者不會知道新的安全性政策和網路拓撲的改變,他將會試著從其他計算機(如pc-2)來訪問檔案伺服器。it 管理員會被通知(因為新的政策),並且從pc-2中刪除任何被入侵的跡象。

攻擊者可能會試著再次滲透網路,這一次利用pc-3,他接著會需要花上很多時間來重新掃瞄網路。所以他有可能發現**伺服器的作用,通過試誤學習的方式來試著訪問檔案伺服器,但這段時間已經足以讓it管理員在網路內偵測到惡意活動並加以解決。

變更網路拓撲的挑戰

變更企業內部的網路拓撲將會是一大挑戰。it管理員的普遍觀點是,變動網路拓撲是件不可能的任務。誠然,這項任務很艱鉅。變更網路拓撲會需要了解裝置之間的確切聯機狀況,並且更改各項細節,像是伺服器ip位址、伺服器網域名稱和客戶端網域名稱等等。此外,改變網路拓撲的細部甚至也可能會影響到整個網路的連通性。

然而,像軟體定義網路(sdn)和網路功能虛擬化(nfv)等新技術可以減少變更網路拓撲的難度。管理員可以先在網路**器上變更網路拓樸,在使用sdn政策規則變更拓撲前先用**器確保變動不會帶來問題。

當然,變更網路拓撲並不是it管理員所要用的唯一安全做法。管理員可以將變更後的網路拓樸搭配乙個可以實時偵測、分析和響應針對性攻擊的安全解決方案,以強化他們網路的安全性。

Linux中Root使用者密碼變更 密碼忘記

使用者設定bash的時候,錯把root的bash改為bin bash,注意,不是 bin bash 然後就登入不了root了,也修改不了 etc passwd了。解決 1 重啟ubuntu,隨即長按shift進入grub選單 2 選擇recovery mode,即ubuntu,with linux ...

測試評審和變更

1.測試用例本身的描述是否清晰 2.是否考慮到測試用例的執行效率.往往測試用例中步驟不斷重複執行,驗證點卻不同,而且測試設計的冗 rong 余性,都造成了效率的低下 3.是否針對需求文件,測試用例是否覆蓋了所有的軟體需求 4.是否完全遵守了軟體需求的規定。這並不一定的,因為即使再嚴格的評審,也會出現...

ceph osd新增和移除

前段時間客戶那邊有台機器的的硬碟全部掛掉,導致上面的檔案系統也全部掛掉,換上新硬碟後需要重新新增osd,下面是詳細步驟 需要注意的是,操作盡量選在晚上10 30之後。先將down掉的osd程序刪掉 具體命令如下 service ceph stop osd.ceph osd out osd.ceph ...