Nel recente Attacchi al New York Times , in che modo gli hacker hanno avuto accesso al server?
Inoltre, ci sono prove che questi attacchi siano stati lanciati dalla Cina, a parte il proxy?
Nel recente Attacchi al New York Times , in che modo gli hacker hanno avuto accesso al server?
Inoltre, ci sono prove che questi attacchi siano stati lanciati dalla Cina, a parte il proxy?
L'articolo a cui ti sei collegato fornisce tutte le informazioni di cui è pubblicamente noto. Quindi citerò solo da lì:
Investigators still do not know how hackers initially broke into The Times’s systems. They suspect the hackers used a so-called spear-phishing attack, in which they send e-mails to employees that contain malicious links or attachments. All it takes is one click on the e-mail by an employee for hackers to install “remote access tools” — or RATs.
E anche:
The malware was identified by computer security experts as a specific strain associated with computer attacks originating in China.
Questo significa che questo non è un software che troverai su metasploit. È qualcosa di personalizzato che hanno costruito.
They set up at least three back doors into users’ machines that they used as a digital base camp. From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.
Quindi, 3 workstation dipendenti compromesse con i RAT (probabilmente via e-mail spear phishing) sfruttate per ottenere l'accesso al controller di dominio.
While hashes make hackers’ break-ins more difficult, hashed passwords can easily be cracked using so-called rainbow tables — readily available databases of hash values for nearly every alphanumeric character combination, up to a certain length.
È noto che Active Directory utilizza hash non salati per l'archiviazione delle password. Esistono diversi metodi utilizzati da AD per le password di hashing, nessuno dei quali molto sicuro ... tranne forse rispetto ai precedenti precedenti modi in cui Microsoft ha cancellato le password. La loro sicurezza si basa principalmente sul presupposto che i controlli di accesso di Windows impediranno all'utente malintenzionato di recuperare gli hash. Ma se l'attaccante utilizza un attacco di phishing mirato per compromettere la postazione di lavoro di qualcuno che ha l'accesso necessario, allora AD non presenterà molta più resistenza e l'attaccante potrà quindi imparare la password di tutti.
Dopo aver infranto le password memorizzate in AD, gli hacker hanno le credenziali necessarie per fare ciò che vogliono. In questo caso, leggi l'email.