C'è molta copertura mediatica come questo uno ma non sono ancora riuscito a trovare dettagli su come gli hacker sono entrati nella rete, nei server e nei sistemi degli utenti.
Quindi quali vulnerabilità / giorni zero hanno usato? In che modo apparentemente riescono a rilevare praticamente tutti i sistemi di Sony Pictures, dai server e dai computer a forse persino dispositivi intelligenti?
Come possiamo proteggerci dall'essere la prossima vittima degli stessi vettori di attacco?
Grazie al suggerimento di Bob Brown e a articolo su Ars Technica a cui probabilmente si riferisce, che conosciamo a almeno alcuni dettagli sull'hack e non solo sui pettegolezzi.
Dall'articolo:
And it still remains unclear how the malware was implanted on Sony Pictures’ network in the first place—or how multiple terabytes of data from corporate systems could have been hauled out of the network within just a few days of the wiper attack.
Secondo l'articolo, un malware utilizzato nell'attacco è Destover o una sua variante, nota anche come (a) Wiper , che è stato anche successivamente firmato con un certificato Sony e era utilizzato per rimuovere / distruggere i dati sui computer della vittima, ad es per coprire e rimuovere le tracce di un'intrusione.
UPDATE:
Secondo la sicurezza Settimana , gli aggressori hanno utilizzato un worm per reti Windows (denominato SMB Worm Tool ) per propagare il malware con codice di autenticazione a forza bruta e strumenti per il trasferimento di file , sondaggio di sistema, manipolazione dei processi, corrispondenza dei tempi dei file e funzionalità proxy , un meccanismo di esecuzione di codice arbitrario e funzioni sopramenzionate per cancellare e distruggere i dati.
Un articolo relativo alla Settimana della sicurezza fa anche riferimento a Avviso US CERT che specifica alcuni Indicatori di compromissione (IOC) , ovvero hash del malware che possono essere aggiunto a soluzioni di sicurezza / sistemi di rilevamento delle intrusioni e motori di rilevamento malware.
Sfortunatamente è molto comune con attacchi così mirati che ti rendi conto dell'attacco solo quando l'intruso è già in profondità nel sistema, che potrebbe anche essere anni dopo l'iniziale intrusione. Nella maggior parte dei casi non è più possibile ricostruire l'intera catena di infezione fino al vettore di consegna originale in questo momento, perché non ci sono più tracce. Se guardi i rapporti, non riescono nemmeno a dire esattamente per quanto tempo l'intruso era già nella rete.
Ci sono alcuni vettori di infezione che potrebbero lasciare tracce (come le mail di spear-phishing ancora nella casella di posta) ma altri come attacchi di waterholing, malvertising o attacchi social di solito non lasciano tracce nella maggior parte delle reti. Solo le reti con un monitoraggio interno pesante potrebbero essere in grado di ricostruire la catena di distribuzione in tali casi. E la pulizia finale dei sistemi compromessi rende la forensica ancora più difficile.
Leggi altre domande sui tag vulnerability zero-day intrusion