Come può un attacco DoS essere usato come parte della fase "Gaining Access" di un hack?

Gli attacchi DoS possono essere utilizzati in diversi modi come parte dell'accesso:

1. Travolgenti difese primarie. quando conduci un attacco DoS, anche i meccanismi di difesa primari vengono coinvolti. Possono essere sopraffatti e, di conseguenza, possono: a) non rispondere adeguatamente b) possono appendere del tutto c) gli osservatori che li guardano sono distratti, o i tuoi sforzi sono persi nei registri DoS. Inoltre, se i sistemi primari vengono trasferiti su sistemi secondari (cosa che spesso accade) quelli potrebbero non essere configurazioni aggiornate, o si potrebbe prendere il roll-over in un time-gap in cui la sincronizzazione di tutto non è corrente .

2. I travolgenti sistemi primari possono esporre difetti. Un attacco DoS può essere usato per esporre difetti che potrebbero essere sfruttati. Potrebbe essere difetti procedurali, potrebbe essere difetti di sistema. Potrebbe essere che, in seguito a un attacco DoS, si costringa l'organizzazione a eseguire l'upgrade e durante l'upgrade si sfrutti quella finestra di opportunità da sfruttare.

3. L'attacco DoS è un'esca. Attacco classico ... Che maghi fanno sempre. Guarda la mano sinistra mentre rubo con la mia destra. Il DoS ha così tanto l'attenzione dell'organizzazione, le rotte secondarie nel sistema (fisico, sociale o tecnico) potrebbero essere indefinite, approvvigionate o i sistemi possono essere più facilmente ignorati senza essere notati.

4. L'attacco DoS potrebbe essere una pianta. Una volta ho sentito di hacker che ha condotto un attacco DoS limitato all'organizzazione A, perché aveva svolto le sue ricerche, e il CIO dell'organizzazione A era molto vicino all'organizzazione B, e entrambe le organizzazioni si trovavano nella stessa arena di affari generali. Quindi sospettava che, se avesse potuto far sì che l'organizzazione A adottasse una tecnologia specifica per contrastare il suo attacco DoS piuttosto rozzo, quell'organizzazione B avrebbe fatto lo stesso, pensando che avrebbero potuto essere i prossimi. Era molto corretto, come ha fatto l'organizzazione B. Perché? Bene, l'hacker ha avuto un exploit 0day nel pezzo di tecnologia e voleva attaccare l'organizzazione B.

5. Percorso secondario / sfruttamento a ponte. Un attacco DoS esteso che può essere sostenuto, può costringere le unità aziendali all'interno dell'organizzazione a spostarsi verso percorsi di sistemi secondari (reti) per mantenere le attività aziendali importanti. Mentre alcuni di questi percorsi secondari possono essere ben pianificati e garantiti, molti non lo sono. Ad esempio, un'unità aziendale può mettere in piedi un dispositivo wifi o mifi e iniziare a utilizzarlo come rete aziendale senza alcuna infrastruttura di sicurezza. Se un utente malintenzionato sta monitorando e profilando attivamente, potrebbero essere in grado di catturare e attaccare questi percorsi molto vulnerabili e ora si dispone di una rete a ponte diretta, totalmente non protetta nell'intranet dell'organizzazione.

C'è una perfetta illustrazione in questo film e ancora meglio in quel film .

Nel primo film, i cattivi simulano un attacco terroristico (che può essere pensato per un massiccio DoS ) in modo che le autorità applichino le loro procedure anti-terrorismo, che implicano l'interruzione del potere - che apre automaticamente la stanza strong che i cattivi volevano inserire in primo luogo.

Nell'altro, i nuovi malvagi simulano un altro attacco terroristico, questa volta con un vero bombardamento (non c'è niente di più di un esplosivo esplosivo), perché allora l'intero schema antiterrorismo alloca tutte le forze di polizia a una bomba razza (questo è un effetto del DoS: per deviare le risorse di difesa dalle loro stazioni normali) e l'esplosione stessa travolge i rilevatori di vibrazioni nella banca che è il vero bersaglio dei cattivi - che possono quindi fare un grande buca nella strong parete della stanza con i bulldozer, non rilevata dai suddetti rivelatori.

In un ambiente di rete + computer, puoi pensare a un DoS come innesco di condizioni anormali, in cui i normali meccanismi di difesa sono meno efficaci.

Non credo che gli attacchi DoS siano tradizionalmente utilizzati per ottenere l'accesso al sistema di per sé. È più di uno strumento utilizzato per confondere il sistema o inondare il sistema di richieste irrilevanti e negare l'accesso al traffico legittimo al sistema. Ciò può a sua volta facilitare l'uso degli exploit di vulnerabilità per ottenere effettivamente l'accesso al sistema.

Gli attacchi denial-of-service per definizione stanno semplicemente negando agli utenti autorizzati o ai dispositivi l'accesso al sistema o alla rete specifici. Potrebbe essere utilizzato insieme ad un altro exploit, ad esempio un buffer overflow, per ottenere il risultato richiesto di penetrare nel sistema.

Anche l'attacco DoS può ostacolare i professionisti IT ei professionisti della sicurezza concentrandosi sul vero problema in questione è che qualcuno sta sfruttando il proprio sistema. Un sacco di pressione è posto nel dipartimento IT dal senior management quando non possono accedere o accedere a determinati pezzi di tecnologia. Così, mentre stanno tentando di risolvere e risolvere il problema del DoS, l'hacker passa del tutto oscurato. Inoltre, provare a setacciare la pletora di file di log che sono stati creati mentre stava accadendo porta a una difficoltà nel rintracciare una violazione.

Un attacco DoS può causare un arresto anomalo del server, provocando il riavvio e l'esecuzione di risorse precedentemente compromesse dall'attaccante.

Ad esempio, l'utente malintenzionato ha compromesso la tabella cron o uno script chiamato da cron. Quando il server si riavvia, viene richiamato il cron danneggiato.

Potrebbe anche portare il DDoS a un livello completamente nuovo se lo script danneggiato supera la partizione dell'unità .

Un attacco DoS può forzare l'IPS di un sistema a fallire nell'aprire il traffico verso le risorse interne. Questa è un'opzione di configurazione su molti dispositivi di difesa in profondità e la loro sovrapposizione porterà a indisponibilità o degrado della sicurezza del servizio. Se la disponibilità del servizio dell'organizzazione è più improtante della sicurezza dei dati forniti dal servizio, il sistema è configurato per l'apertura fallita, il che significa che la sicurezza sarà compromessa accettando tutte le connessioni.