👆👆👆
如果你們認為,美劇中潛入敵對公司,插入U盤然後開始黑掉公司所有網絡設備的劇情在現實中不可能出現,那麼下面這個攻擊事件卻是證明公司安保的重要性。
2017 - 2018年,國外專家受邀研究一系列網絡盜竊事件。
這些事件中每次攻擊都有一個共同的跳板:通過一個未知設備直接連接到公司內網。在某些情況下,該設備顯示處於中央辦公室,在其他情況下是區域辦事處,有時位於另一個國家。
目前東歐至少有8家銀行成為襲擊的目標(統稱為DarkVishnya),造成數千萬美元的損失。
每次攻擊都可以分為幾個相同的階段。
在第一階段,網絡犯罪分子以快遞員,求職者等為幌子進入組織的大樓,並將設備連接到本地網絡,例如,在其中一個會議室中。在可能的情況下,該裝置被隱藏或融合到周圍環境中,以免引起懷疑。
像下圖,通常一些公司直接插網線就能夠直接上網,這點非常需要注意。
而在DarkVishnya攻擊中使用的設備根據網絡犯罪分子的能力和個人喜好而有所不同。
在本次案例中,通常為這三個工具中的一種:
在本地網絡內部,這些設備顯示為未知計算機,外部快閃記憶體驅動器,甚至是鍵盤。
由於Bash Bunny在尺寸上與USB快閃記憶體驅動器差不多大(如上圖),這使得找這玩意插在哪裡特別困難。攻擊者會通過內置或USB連接的GPRS/3G/LTE數據機遠程訪問這類設備。
從目標公司植入設備之後,(溜了之後),便開始進行第二階段,開始內網滲透。
在第二階段,攻擊者遠程連接到設備並掃描本地網絡,以尋求訪問共享文件夾,Web伺服器和任何其他開放資源。目的是獲取有關網絡的信息,尤其是用於付款的伺服器和工作站。
與此同時,攻擊者試圖進行爆破或嗅探這些機器的登錄數據。為了克服防火牆限制,他們使用本地TCP伺服器植入shellcode。如果防火牆阻止從網絡的一個網段訪問另一個網段,但允許反向連接,則攻擊者使用不同的有效負載來構建隧道,即反彈shell。
成功後,網絡犯罪分子進入第三階段。在這裡,他們登錄目標系統並使用遠程訪問軟體來保留訪問權限。接下來,在受感染的計算機上啟動使用msfvenom創建的惡意服務。
由於黑客使用無文件攻擊和PowerShell,他們能夠避免白名單技術和域策略。如果他們遇到無法繞過的白名單,或者PowerShell在目標計算機上被阻止,則網絡犯罪分子使用impacket,winexesvc.exe或psexec.exe遠程運行可執行文件。
公司一定要注意安保措施,競爭對手手段很多,內網隔離再多我肉身進去在地上扔一個移動硬碟我不信你不插進電腦看看有啥。(別和我說用DG打開格式化,大多數人還是不會這麼想的)
與DarkVishnya攻擊活動相關的信息
病毒名:
not-a-virus.RemoteAdmin.Win32.DameWare
MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg
HEUR:Trojan.Multi.Powecod
HEUR:Trojan.Win32.Betabanker.gen
not-a-virus:RemoteAdmin.Win64.WinExe
Trojan.Win32.Powershell
PDM:Trojan.Win32.CmdServ
Trojan.Win32.Agent.smbe
HEUR:Trojan.Multi.Powesta.b
HEUR:Trojan.Multi.Runner.j
not-a-virus.RemoteAdmin.Win32.PsExec
tcp://0.0.0.0:5190
tcp://0.0.0.0:7900
tcp://10.**.*.***:4444
tcp://10.**.*.**:4445
tcp://10.**.*.**:31337
\\.\xport
\\.\s-pipe
歡迎加入知識星球,一頓飯錢,找適合你的資源,提升個人競爭力,內推資源更是數不勝數,還在等什麼。
關注一下,謝謝大佬