打破黑客潜伏:应对横向移动威胁

NotPetya 攻击(2017年):这次极具破坏性的勒索软件攻击利用了乌克兰税务会计软件的漏洞。攻击者通过发送钓鱼电子邮件获取了初始访问权限,随后利用窃取的凭据在网络中横向移动,最终部署了勒索软件,严重破坏了关键基础设施。

BianLian勒索软件团伙(2022年至今):BianLian勒索软件团伙是全球最活跃的勒索软件团伙之一,位列TOP10。自2022年成立以来,BianLian团伙异常活跃,几乎每周都有成功入侵的组织被曝光。根据公开披露的信息,该组织主要将目标对准了美国和欧洲的医疗行业和制造业。为了入侵企业网络,BianLian团伙经常使用各种公开工具进行横向移动、凭据窃取和后门植入等操作。

实际上,高达25%的数据泄露事件与横向移动有关!

黑客可能花费数周或数月的时间悄无声息地从一个系统跳到另一个系统,窃取您的数据,安装勒索软件或破坏您的网络。

 

横向移动是什么?

在数字世界里,横向移动指的是网络攻击者在成功获取网络初步访问权限后所采取的一种战术。他们的目标并非原地不动,而是要在不被察觉的情况下,进一步扩大影响范围,并深入探索网络,寻找更为关键的系统和敏感数据。就像一个小偷闯入你的家中,他们往往并不会因为第一眼看见的物品就收手,而是会悄悄地四处探索,在每个房间仔细搜寻更为贵重的物品。

这种在网络中自由穿梭的能力,使得攻击者能够逐步接近并达成其最终目的,这些目的可能包括:

泄露数据:窃取财务记录、知识产权、个人数据等敏感信息。

中断服务:控制关键系统,导致业务运营停滞或中断。

部署勒索软件:加密重要数据,并以此要求支付解密赎金。

横向移动是高级持续性威胁(APT)所采取的核心策略之一。与那些旨在快速获利的基础网络攻击不同,APT攻击更为复杂且有条不紊。它们在网络中建立持久性,以便能够进行横向移动,并在较长的一段时间内实现其攻击目标。

横向移动如何进行?

横向移动的成功与否,关键在于攻击者能否巧妙地融入合法的网络流量中。以下是一个典型的工作流程:

初始立足点:攻击者会利用系统中的漏洞(如网络钓鱼、恶意软件等手段)来在网络中建立初始立足点。

侦察阶段:一旦成功进入网络,攻击者会开始收集关于网络布局、用户账户以及系统权限的详细信息。这种侦察工作有助于他们识别潜在的攻击目标,并为下一步行动做好充分准备。

凭证盗窃:攻击者通常会瞄准那些具有较高访问权限的特权账户。他们可能会采用多种技术手段(如社会工程或暴力破解等)来窃取用户名和密码。

利用漏洞:攻击者还可能利用操作系统或应用程序中尚未修补的漏洞,来提升自己的权限,从而更方便地操控受感染的系统。

横向移动:有了窃取的凭证或提升的权限,攻击者就可以开始在网络内进行横向移动,从一台设备转移到另一台设备,从一个服务器跳转到另一个服务器。这个过程会持续进行,直到他们达到预定的攻击目标,或者被网络管理员发现并拦截。

发现横向移动怎么办?

发现网络中的横向移动确实令人紧张,但遵循一套结构化方法,您可以有效遏制威胁,减少损害,并防止类似事件再次发生。以下是应对横向移动的具体步骤:

隔离受感染系统

迅速行动:立即将受感染的系统从网络中隔离,避免攻击者进一步扩散。

禁用受感染设备上的网络适配器。

将设备移至单独的隔离网络段。

如有必要,关闭系统(需权衡系统关键性与数据丢失风险)。

识别其他感染系统

在隔离初始感染源的同时,利用SIEM、EDR等安全工具快速调查,识别网络中其他可能受感染的系统。

遏制威胁

阻止进一步攻击:

禁用疑似受损的用户账户。

更改受影响账户的密码,并强制使用强密码策略。

阻止访问攻击者用于通信和指令接收的命令与控制服务器。

深入调查事件

收集证据:从受感染系统中收集日志、内存转储、可疑文件等作为取证证据。

确定入侵范围:利用网络流量分析工具等,调查攻击者在网络中的活动轨迹,判断哪些数据可能被访问、修改或泄露。

修复问题

修补漏洞:识别并修补攻击者利用的漏洞,确保整个网络的安全。

审查安全政策:分析现有安全政策,加强访问控制、网络分段或实施多因素身份验证(MFA)等措施。

从攻击中恢复

系统恢复:如果可能,从攻击前的备份中恢复受感染系统,并确保备份的安全性。

数据恢复:若数据在攻击中受损,尝试从备份中恢复或考虑聘请专业数据恢复团队。

改善安全态势

利用事件调查结果,增强整体安全态势,更新安全工具,定期评估漏洞,并持续监控网络活动。

及时报告

内部报告:向内部利益相关者通报事件详情,包括违规程度和潜在影响。

外部报告:根据法规要求、行业规定或数据泄露情况,及时向执法机构、数据保护机构等相关部门报告。

原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/90887.html

(0)
guozi的头像guozi
上一篇 2024年6月7日 上午11:28
下一篇 2024年6月7日 上午11:36

相关推荐

  • windows找不到证书怎么解决?

    你是否曾经遇到过电脑系统提示“windows找不到证书”的问题?这个问题可能让你感到困惑,甚至无从下手。那么,什么是证书?为什么会出现这样的问题?又该如何解决呢?在本文中,我将为你…

    问答 2024年4月11日
    0
  • 如何获取手机root权限?

    你是否曾经想过如何获取手机root权限?或许你对这个问题并不陌生,但是它却一直困扰着许多人。那么什么是手机root权限呢?为什么我们需要去获取它呢?不同手机系统又有哪些方法可以获取…

    问答 2024年3月29日
    0
  • 云服务器的运行原理及优势

    云服务器,这个词在如今的网络行业中已经不陌生。它是一种新型的服务器,它的出现给传统服务器带来了巨大的冲击。那么,什么是云服务器?它究竟有什么优势?让我们一起来揭开这个神秘的面纱,探…

    问答 2024年4月3日
    0
  • cdr是什么及其作用?

    网络行业中有一项技术备受关注,它就是CDR。你是否听说过这个名词?或许你对它还不太了解,但它却在网络行业发挥着重要的作用。那么,什么是CDR?它有哪些作用和优势?在网络行业中有哪些…

    问答 2024年4月2日
    0

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注