11月2日报道 在本周的迈阿密黑客防范论坛上,安全研究人员表示,黑客们正明目张胆地侵入公司网络,以窃取有价值的数据,并将其提供给其他公司或国家——并侥幸逃脱。
“不幸的是,IDS(入侵检测系统)没有检测到他们”,瑞士的Ptrace Security公司的安全专家Gianni Gnesa在谈到最近一次针对瑞士公司的攻击时表示。
攻击者一旦进入员工机器,就会利用一系列工具和嗅探器来寻找存储在瑞士公司网络的有价值的内容。尽管他即便发现应用服务器也无法进入,但是,攻击者会攻入网络打印机,并查找密码。“管理员密码在HTML代码中,”Gnesa表示,“但不幸的是,那个密码也用在其他机器上。”
最后,攻击者会设法获取存储在Linux文件服务器上的文件、图表及其他有价值的知识产权。尽管服务器在安全防护上没有问题,但其备份可不是这样,通过Gnesa所说的phpMyAdmin 3.4.1 swekey RCE漏洞,攻击者可获得备份服务器上的远程操作界面。而通过使用另一个Linux 2.6.x umount漏洞,他会获得root shell,由此得以进入每个文件和目录。
Gnesa说,攻击者对提取大量敏感数据很有兴趣,他们将数据传送到马来西亚的受控主机上。攻击者在窃取签名信息和文件后,试图将金钱转入国外银行账号时,瑞士公司发现了不对劲。而瑞士银行认为这笔转账业务可疑并通知了受攻击的公司。Gnesa称,这次攻击花了2周时间来实现,但却花了一个半月时间来准备各种细节。
如何防止这类攻击以免数据遭窃?Gnesa建议,主要的措施就是使用安全事件和信息管理工具,如:HP ArcSight、Novell Sentinel、Tripwire Log Center和Splunk,由此监控不正常的流量。
“如果攻击者想进入你的网络,” Gnesa说,“你唯一能做的事就是给他制造更大的难度。”
上文中的瑞士公司在完成对此次攻击的调查后也做了些改变,比如:添加了单独的安全响应措施,禁止使用社交网络,改变网络拓扑结构等。
这种攻击窃取来的重要文件和信息经常被提供给竞争对手或者是国家机构,这就是现在常说的“高级持续性威胁(APT)”。在本次黑客防范论坛上,其他安全专家也表示,他们也表示,有证据表明,APT一直都存在。
