SANS專家在RSA會(huì)議上向大家展示了未來攻擊方式的趨勢。

該項(xiàng)研究由SANS主管John Pescatore主導(dǎo)，Counter Hack Challenges創(chuàng)始人兼SANS研究員Ed Skoudis、SANS研究院長Johannes Ullrich以及Michael Assante參與其中。SANS項(xiàng)目將為工業(yè)控制系統(tǒng)(ICS)和監(jiān)控和數(shù)據(jù)采集(SCADA)的安全服務(wù)。每個(gè)參與者都展望了明年將會(huì)獲得關(guān)注的攻擊技術(shù)同時(shí)他們也提供了自己對(duì)網(wǎng)絡(luò)威脅演變的看法。

[[132787]]

一、攻擊者將會(huì)慢慢“消費(fèi)”數(shù)據(jù)漏洞

據(jù)Skoudis描述，將會(huì)有越來越多的組織機(jī)構(gòu)需要面對(duì)攻擊者，不僅是了解他們?nèi)绾胃`取信息的，還要知道他們?nèi)绾螌⑿畔鞑サ?，特別是如果攻擊者想公開羞辱他們的目標(biāo)。

“我說的當(dāng)然就是索尼公司的情況。攻擊者不是僅僅將偷到的大數(shù)據(jù)直接對(duì)外泄漏，而是一點(diǎn)點(diǎn)的曝光。這么做造成更大傷害的原因是索尼根本不知道該如何回應(yīng)。攻擊者在第三天、第四天的爆料讓索尼在第一天所作的的回應(yīng)聽起來愚蠢至極。因此這樣對(duì)索尼來說造成的損失不僅僅是數(shù)據(jù)泄露，他們好像在與魔鬼打拳一般。”

Skoudis建議組織機(jī)構(gòu)開始演練包括信息泄露響應(yīng)在內(nèi)的場景。

二、微軟Kerberos正在挨打

科普：Kerberos

Kerberos是由美國麻省理工學(xué)院提出的基于可信賴的第三方的認(rèn)證系統(tǒng);提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法,它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份;采用對(duì)稱密鑰體制對(duì)信息進(jìn)行加密。其基本思想是：能正確對(duì)信息進(jìn)行解密的用戶就是合法用戶。用戶在對(duì)應(yīng)用服務(wù)器進(jìn)行訪問之前，必須先從第三方(Kerberos服務(wù)器)獲取該應(yīng)用服務(wù)器的訪問許可證。

正如Pass the Hash攻擊在2011年回歸主流一樣，Skoudis解釋說他與其他專家一直以一些不常提及的攻擊對(duì)象作為討論的起始，例如微軟的Kerberos，但情況有了轉(zhuǎn)變。

“發(fā)生了什么呢?我們通過了訪問許可并能夠?qū)嵤┕簟Ｒ坏┮粋€(gè)壞人黑進(jìn)這個(gè)系統(tǒng)中的機(jī)器——用戶的機(jī)器或者是服務(wù)器——它能夠竊取Kerberos發(fā)給用戶應(yīng)用服務(wù)器的許可證。”

Skoudis進(jìn)一步解釋了攻擊者在10小時(shí)內(nèi)可以對(duì)這些訪問許可證加以利用并造成許多傷害。

三、對(duì)IoT漏洞基于現(xiàn)實(shí)的利用將增多

Skoudis警告說，隨著更多超越手機(jī)和平板的網(wǎng)絡(luò)應(yīng)用侵入你的生活，未來將更加無孔不入，無論是打印機(jī)或是無線路由器，IoT的更多漏洞將直接影響到企業(yè)。目前嵌入式硬件設(shè)備變得十分廉價(jià)，因此漏洞造成的傷害將升級(jí)。

“當(dāng)一切不同的事物進(jìn)入這個(gè)環(huán)境中，如果你不知道漏洞出現(xiàn)在哪里，那你便無法抵御它。”

不幸的是這些設(shè)備通常對(duì)一些古老的攻擊以及傳統(tǒng)方式無力抵抗。但是這些常見的漏洞將在IoT設(shè)備中造成新的、無法預(yù)測的后果。

Skoudis舉了個(gè)例子，他和他的團(tuán)隊(duì)發(fā)現(xiàn)一臺(tái)設(shè)備受到一個(gè)簡單的跨站點(diǎn)腳本攻擊便遭到了無可逆轉(zhuǎn)的破壞。

“你可以對(duì)一個(gè)設(shè)備發(fā)動(dòng)跨站點(diǎn)腳本攻擊，它就被毀了?？?，我相信你或許和我一樣見多很多跨站點(diǎn)腳本攻擊，但是我從未見過它能毀了一臺(tái)設(shè)備。這簡直太瘋狂了。”

四、加密技術(shù)成為安全的亦敵亦友

加密技術(shù)成為安全的首位敵友，不僅僅是因?yàn)樵谠趫?zhí)行欠佳的時(shí)候加密能解決問題(如“心臟滴血”和“BASH”漏洞)，還因?yàn)樗軌虮挥糜趯?duì)付你自己。

當(dāng)加密勒索軟件數(shù)量增多時(shí)，這在很大程度上被視為是一個(gè)消費(fèi)者問題。但是當(dāng)攻擊者開始切換他們的加密勒索軟件交付技術(shù)時(shí)情況將發(fā)生變化。

企業(yè)可能會(huì)認(rèn)為泄漏的信息比加密的信息更重要一些，因?yàn)榧用艿男畔⒍加袀浞?。然而?dāng)備份被攻擊者加密之后情況就不同了。例如攻擊者通常會(huì)試圖黑進(jìn)NAS及其他設(shè)備的備份以便執(zhí)行針對(duì)公司的勒索軟件攻擊。攻擊者利用web應(yīng)用程序的漏洞進(jìn)入web服務(wù)器中，然后在一段時(shí)間內(nèi)有效地加密數(shù)據(jù)，最終在索要贖金前消除加密。因此所有在過去六個(gè)月內(nèi)變化過的數(shù)據(jù)(特別是web服務(wù)器)現(xiàn)在都設(shè)了加密，其中也包括所有近六個(gè)月內(nèi)的備份?，F(xiàn)在你會(huì)發(fā)現(xiàn)你的網(wǎng)站有大量向你索要贖金的通知，不付的話你就找不回你的數(shù)據(jù)了。

五、DoS攻擊呈增長趨勢

DoS攻擊在過去幾年中都是一個(gè)很嚴(yán)重的問題，而在大多數(shù)情況中，企業(yè)已經(jīng)開始學(xué)會(huì)如何去適應(yīng)它了。

攻擊者會(huì)專注于實(shí)際應(yīng)用。因此有了七層DoS攻擊。相對(duì)流量水平較低的像是幾百兆位或者一千兆位的，攻擊者能對(duì)應(yīng)用程序造成嚴(yán)重的危害甚至使之無法使用。

此外，攻擊者不是通過反射DNS服務(wù)器攻擊的，也不是使用了拒絕服務(wù)攻擊僵尸網(wǎng)絡(luò)，而是通過來自真實(shí)用戶的請求。

六、ICS成為攻擊目標(biāo)

攻擊者對(duì)如何追蹤工業(yè)控制系統(tǒng)越來越精通了，現(xiàn)在甚至有了定制ICS漏洞的現(xiàn)象，這可是個(gè)新消息。這意味著對(duì)手對(duì)此進(jìn)行了很多的思考與關(guān)注。

此外，攻擊者對(duì)ICS系統(tǒng)內(nèi)的特定功能加以利用，同時(shí)了解傳遞的重要性。

“攻擊者也證明了目前有許多控制系統(tǒng)至少是隱藏在一個(gè)防火墻——即一個(gè)邏輯分割之后的。他們同樣在思考以及研究如何專注于傳送而不是凈負(fù)荷。黑客要如何進(jìn)入他們想去的地方?以及我們同樣關(guān)注的一件事，ICS信任關(guān)系。”

結(jié)果，針對(duì)生產(chǎn)工程師和這些領(lǐng)域的釣魚攻擊提高了等級(jí)，同樣增加的還有針對(duì)帶有ICS工程師信息網(wǎng)站的水坑攻擊。更可怕的還有攻擊者開始裝置可用于更新固件的ICS文件及構(gòu)件并且在供應(yīng)鏈中尋找可以替代它們的方式以使惡意軟件通過防火墻進(jìn)入生產(chǎn)環(huán)境。