網絡安全專家分析有針對性的網絡攻擊
來源:中國軟件網 更新時間:2013-02-18

 
  如果你關注安全新聞,你可能已經看到過來自彭博公司(Bloomberg )關于在2009年可口可樂公司受到黑客攻擊,盜取了關于一項重要并購交易的商業機密信息的相關報道,而投資者尚不知道這些情況。這個交易是相當的重要,涉及一筆價值24億美元現金試圖收購中國匯源果汁集團,最終該收購案由于不明原因而以失敗而告終。現在,我們非常感謝此次報道,我們可以了解到通過這些攻擊可能泄露了此次交易的某些敏感信息,雖然我們不知道黑客本身在此次失敗的交易中扮演了何種角色,但是這些黑客的行動很有可能決定了這么一個重要交易過程的命運,這是非常可怕的。然而,當時,FBI曾告訴可口可樂公司關于黑客的入侵,但是可口可樂公司并沒有披露真實的情況。

  事實上,這并非是一次罕見的事件。去年,黑客通過不同網絡手段將英國天然氣集團作為打擊的目標,盡管該公司從未向外界公布。這些攻擊目標的類型正變得越來越多,不僅包括個人信息,而且也包括財務數據。無論是自身的原因還是有相關利益的第三方,商業交易和并購都有可能被一組黑客破壞。因此,這就不奇怪為什么許多公司認為它們不應該去公開披露這些攻擊了,無論是投資者,還是公司內部的管理者都應該隱藏這些信息,清除受感染的系統以及采取相關的行動。這些疏漏就是為什么早在2011年美國證券交易委員會(SEC)提出了一個指導性方針,告知受到類似事件受害的相關公司它們應該采取何種行動。

  相比之下,就在上個月,格魯吉亞計算機應急響應小組(CERT)研究所發表了一份完美的案例,講述了應該如何應對這樣的網上活動,詳細描述了發生在2011年針對格魯吉亞境內的新聞網站,博客和政府網站的攻擊行為。通過閱讀這份27頁的報告,我們可以從中了解到它們的安全團隊發現這次事件僅僅導致了390臺電腦受到惡意程序的感染。此外,這并不是某些未成年人隨機尋找攻擊目標而尋找所謂的興奮感。此次攻擊目標是將某些特定的政治積極分子網站作為有動機的攻擊,從而影響持有一個特定政治觀點的人們。例如,他們攻擊一個新聞網站,然后丑化新聞報道中的具體對象。

  此次攻擊開始于2011年3月,第一個實例是該惡意程序被發現竊取格魯吉亞境內網站的文件和認證。今年,為了繞過防火墻和入侵檢測系統(IDS),該病毒進行了幾次修改變得更難被監測到。到了十二月,受感染的系統能夠被遠程控制,并且具有通過keylogging鍵盤記錄木馬手段進行視頻錄像以及截圖功能。所有這些感染的系統都源自于一個簡單的腳本文件被植入到被黑客攻擊的新聞網站中,利用零日漏洞(zero-day exploit)將ActiveX, PDF 文件和Java程序作為攻擊的目標。

  一旦被感染,惡意病毒會掃描攻擊的計算機是否處于UTC+3或UTC+4時區(即東歐到俄羅斯),這再次表明了這是一次有針對性的網絡攻擊。然后,該病毒會被偽裝成calc.exe 文件并且將某些代碼植入到瀏覽器中以此命令進行通信和控制服務器。該代碼非常復雜,它可以同時從幾個不同的IP地址進行更新。報道的最后指出,在此次調查的背后,該團隊展示了一些阻止這些攻擊的步驟,包括阻止執行該命令和控制服務器,與安全公司合作在入侵檢測系統(IDS)中增加適當的監測設備,與各個執法機構合作,與那些不負責任的托管服務提供商聯系獲取離線的服務器信息,并獲取日志文件進行分析。

  任何公司都應該經歷過被黑客攻擊的事件,這是一個很好的例子。它表明網絡攻擊不僅比以前變得更加復雜,而且也非常具有針對性。雖然目前仍然有許多非針對性惡意軟件威脅,但是我們的安全解決方案還足以能夠應付。大多數的公司都花了最少的努力以確保它們的網絡安全,導致了管理人員認為公司的系統不會被破壞。但是,當涉及此次類型的事件時,針對性攻擊的目標是特定的數據,提前進行準備變得相當困難,這就為什么正確的取證以及披露出來是如此的重要。假設一個非針對性攻擊,當一名IT管理員監測到一個漏洞時,他或她所做的最糟糕的情況是在對病毒進行清理后就簡單的將其擱置了。如果任何東西看起來都很可疑,那么你永遠不知道該攻擊的真實效果有多大。

  如果你是一名負責網絡工作的員工,無論是在家大公司還是小公司,通過分析這些報告中的網絡攻擊類型能夠提供給你一些寶貴的信息,不僅僅是類似的針對性攻擊,還有通過對漏洞的調查獲取相關信息, 并且在最后應該將攻擊的類型披露出來。不幸的是,目前正在進行的絕大多數的網絡攻擊仍然是非常鮮有人知的。前美國參議院網絡顧問Jacob Olcott告訴彭博:“目前,大部分公司有關重大事項的信息很少出現在它們的相關網站上,” 因此, “投資者不知道今天發生了什么事情。”



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios