11月2日?qǐng)?bào)道 在本周的邁阿密黑客防范論壇上，安全研究人員表示，黑客們正明目張膽地侵入公司網(wǎng)絡(luò)，以竊取有價(jià)值的數(shù)據(jù)，并將其提供給其他公司或國(guó)家——并僥幸逃脫。

“不幸的是，IDS(入侵檢測(cè)系統(tǒng))沒(méi)有檢測(cè)到他們”，瑞士的Ptrace Security公司的安全專(zhuān)家Gianni Gnesa在談到最近一次針對(duì)瑞士公司的攻擊時(shí)表示。

攻擊者一旦進(jìn)入員工機(jī)器，就會(huì)利用一系列工具和嗅探器來(lái)尋找存儲(chǔ)在瑞士公司網(wǎng)絡(luò)的有價(jià)值的內(nèi)容。盡管他即便發(fā)現(xiàn)應(yīng)用服務(wù)器也無(wú)法進(jìn)入，但是，攻擊者會(huì)攻入網(wǎng)絡(luò)打印機(jī)，并查找密碼。“管理員密碼在HTML代碼中，”Gnesa表示，“但不幸的是，那個(gè)密碼也用在其他機(jī)器上。”

最后，攻擊者會(huì)設(shè)法獲取存儲(chǔ)在Linux文件服務(wù)器上的文件、圖表及其他有價(jià)值的知識(shí)產(chǎn)權(quán)。盡管服務(wù)器在安全防護(hù)上沒(méi)有問(wèn)題，但其備份可不是這樣，通過(guò)Gnesa所說(shuō)的phpMyAdmin 3.4.1 swekey RCE漏洞，攻擊者可獲得備份服務(wù)器上的遠(yuǎn)程操作界面。而通過(guò)使用另一個(gè)Linux 2.6.x umount漏洞，他會(huì)獲得root shell，由此得以進(jìn)入每個(gè)文件和目錄。

Gnesa說(shuō)，攻擊者對(duì)提取大量敏感數(shù)據(jù)很有興趣，他們將數(shù)據(jù)傳送到馬來(lái)西亞的受控主機(jī)上。攻擊者在竊取簽名信息和文件后，試圖將金錢(qián)轉(zhuǎn)入國(guó)外銀行賬號(hào)時(shí)，瑞士公司發(fā)現(xiàn)了不對(duì)勁。而瑞士銀行認(rèn)為這筆轉(zhuǎn)賬業(yè)務(wù)可疑并通知了受攻擊的公司。Gnesa稱(chēng)，這次攻擊花了2周時(shí)間來(lái)實(shí)現(xiàn)，但卻花了一個(gè)半月時(shí)間來(lái)準(zhǔn)備各種細(xì)節(jié)。

如何防止這類(lèi)攻擊以免數(shù)據(jù)遭竊？Gnesa建議，主要的措施就是使用安全事件和信息管理工具，如：HP ArcSight、Novell Sentinel、Tripwire Log Center和Splunk，由此監(jiān)控不正常的流量。

“如果攻擊者想進(jìn)入你的網(wǎng)絡(luò)，” Gnesa說(shuō)，“你唯一能做的事就是給他制造更大的難度。”

上文中的瑞士公司在完成對(duì)此次攻擊的調(diào)查后也做了些改變，比如：添加了單獨(dú)的安全響應(yīng)措施，禁止使用社交網(wǎng)絡(luò)，改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等。

這種攻擊竊取來(lái)的重要文件和信息經(jīng)常被提供給競(jìng)爭(zhēng)對(duì)手或者是國(guó)家機(jī)構(gòu)，這就是現(xiàn)在常說(shuō)的“高級(jí)持續(xù)性威脅(APT)”。在本次黑客防范論壇上，其他安全專(zhuān)家也表示，他們也表示，有證據(jù)表明，APT一直都存在。