Quali sono le tecniche più sofisticate utilizzate dagli intrusi che hai trovato in natura?

2

Sto iniziando a essere coinvolto in incidenti, alcuni di loro sono APT (Advanced Persistent Threat).

Nonostante la complessità disponibile nella 'bibliografia' e nelle conferenze o e-zine di sicurezza, le tecniche che ho trovato usate dagli intrusi sono per la maggior parte degli intrufolamenti di rete, interruzioni di malware attraverso e-mail inviate ai dipendenti di la società o, quindi, rubare le password e interrompere la gestione sfruttando una vulnerabilità molto vecchia sul server non aggiornato.

Non ho mai trovato Covert Channel o Kernel Rootkit. E per la maggior parte tutte le backdoor e gli strumenti usati dagli intrusi sono stati lasciati in chiaro sul file system.

Qual è la tua esperienza con l'incidente? Hai scoperto che alcune tecniche avanzate usate dagli intrusi o per la maggior parte delle interruzioni sono sfruttate usando tecniche semplici e vecchie?

    
posta boos 23.02.2012 - 22:55
fonte

2 risposte

2

Gli scoppi di virus standard di Bog hanno rootkit, backdoor e canali nascosti. È difficile dire se qualcuno li sta utilizzando anche da quando le comunicazioni crittografate al comando e al controllo sono abbastanza misteriose, e la profondità alla quale dovresti effettuare la ricerca mette quel tipo di analisi al di fuori della sicurezza pratica.

Stranamente, l'IDS non lo raccolse, né l'analisi del modello di traffico ... che è IMHO, vergognoso. L'AV lo raccolse quando i sistemi sani ricevettero aggiornamenti e vide file infetti su condivisioni.

Sarebbe imbarazzante ... se i problemi fossero nel mio controllo. Ero responsabile solo della pulizia e della documentazione del problema. Le mie raccomandazioni sono state per lo più ignorate, ma è stata la valutazione dei rischi esecutivi che ha fatto quella chiamata e la rispetto.

Ovviamente sono stato messo di fronte al plotone di esecuzione per spiegare ai dirigenti perché il sistema IDS non ha rilevato nulla quando un bambino con problemi di cavi poteva vedere che si stava scatenando l'inferno.

    
risposta data 23.02.2012 - 23:31
fonte
1

Sebbene questo non sia qualcosa che mi è successo direttamente, una persona che conosco online ha condiviso questa storia, così come il carico utile. Apparentemente era stato preso di mira con quello che potrebbe essere un malware TAO azionario. Era un carico utile BIOS che rattoppava il kernel in memoria all'avvio. Conteneva anche un carico utile per mettere in pausa la macchina nel caso in cui non fosse riuscita a eseguire correttamente. In tal caso, si abuserebbe di una funzionalità poco conosciuta in molti laptop in cui il dispositivo può essere bloccato su uno specifico numero di serie della batteria. Abilitando questa funzione e bloccando il numero seriale richiesto su uno inesistente, il sistema rifiuterà in modo efficace di riavviarlo.

Alcuni dettagli sono presenti nel link che trovo abbastanza interessante (la cosa del numero di serie della batteria è il PDoS ha citato).

    
risposta data 05.04.2016 - 02:21
fonte

Leggi altre domande sui tag