SANS專家在RSA會議上向大家展示了未來攻擊方式的趨勢。

該項研究由SANS主管John Pescatore主導(dǎo)，Counter Hack Challenges創(chuàng)始人兼SANS研究員Ed Skoudis、SANS研究院長Johannes Ullrich以及Michael Assante參與其中。SANS項目將為工業(yè)控制系統(tǒng)(ICS)和監(jiān)控和數(shù)據(jù)采集(SCADA)的安全服務(wù)。每個參與者都展望了明年將會獲得關(guān)注的攻擊技術(shù)同時他們也提供了自己對網(wǎng)絡(luò)威脅演變的看法。

[[132787]]

一、攻擊者將會慢慢“消費”數(shù)據(jù)漏洞

據(jù)Skoudis描述，將會有越來越多的組織機構(gòu)需要面對攻擊者，不僅是了解他們?nèi)绾胃`取信息的，還要知道他們?nèi)绾螌⑿畔鞑サ?，特別是如果攻擊者想公開羞辱他們的目標(biāo)。

“我說的當(dāng)然就是索尼公司的情況。攻擊者不是僅僅將偷到的大數(shù)據(jù)直接對外泄漏，而是一點點的曝光。這么做造成更大傷害的原因是索尼根本不知道該如何回應(yīng)。攻擊者在第三天、第四天的爆料讓索尼在第一天所作的的回應(yīng)聽起來愚蠢至極。因此這樣對索尼來說造成的損失不僅僅是數(shù)據(jù)泄露，他們好像在與魔鬼打拳一般。”

Skoudis建議組織機構(gòu)開始演練包括信息泄露響應(yīng)在內(nèi)的場景。

二、微軟Kerberos正在挨打

科普：Kerberos

Kerberos是由美國麻省理工學(xué)院提出的基于可信賴的第三方的認(rèn)證系統(tǒng);提供了一種在開放式網(wǎng)絡(luò)環(huán)境下進(jìn)行身份認(rèn)證的方法,它使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份;采用對稱密鑰體制對信息進(jìn)行加密。其基本思想是：能正確對信息進(jìn)行解密的用戶就是合法用戶。用戶在對應(yīng)用服務(wù)器進(jìn)行訪問之前，必須先從第三方(Kerberos服務(wù)器)獲取該應(yīng)用服務(wù)器的訪問許可證。

正如Pass the Hash攻擊在2011年回歸主流一樣，Skoudis解釋說他與其他專家一直以一些不常提及的攻擊對象作為討論的起始，例如微軟的Kerberos，但情況有了轉(zhuǎn)變。

“發(fā)生了什么呢?我們通過了訪問許可并能夠?qū)嵤┕簟Ｒ坏┮粋€壞人黑進(jìn)這個系統(tǒng)中的機器——用戶的機器或者是服務(wù)器——它能夠竊取Kerberos發(fā)給用戶應(yīng)用服務(wù)器的許可證。”

Skoudis進(jìn)一步解釋了攻擊者在10小時內(nèi)可以對這些訪問許可證加以利用并造成許多傷害。

三、對IoT漏洞基于現(xiàn)實的利用將增多

Skoudis警告說，隨著更多超越手機和平板的網(wǎng)絡(luò)應(yīng)用侵入你的生活，未來將更加無孔不入，無論是打印機或是無線路由器，IoT的更多漏洞將直接影響到企業(yè)。目前嵌入式硬件設(shè)備變得十分廉價，因此漏洞造成的傷害將升級。

“當(dāng)一切不同的事物進(jìn)入這個環(huán)境中，如果你不知道漏洞出現(xiàn)在哪里，那你便無法抵御它。”

不幸的是這些設(shè)備通常對一些古老的攻擊以及傳統(tǒng)方式無力抵抗。但是這些常見的漏洞將在IoT設(shè)備中造成新的、無法預(yù)測的后果。

Skoudis舉了個例子，他和他的團隊發(fā)現(xiàn)一臺設(shè)備受到一個簡單的跨站點腳本攻擊便遭到了無可逆轉(zhuǎn)的破壞。

“你可以對一個設(shè)備發(fā)動跨站點腳本攻擊，它就被毀了?？?，我相信你或許和我一樣見多很多跨站點腳本攻擊，但是我從未見過它能毀了一臺設(shè)備。這簡直太瘋狂了。”

四、加密技術(shù)成為安全的亦敵亦友

加密技術(shù)成為安全的首位敵友，不僅僅是因為在在執(zhí)行欠佳的時候加密能解決問題(如“心臟滴血”和“BASH”漏洞)，還因為它能夠被用于對付你自己。

當(dāng)加密勒索軟件數(shù)量增多時，這在很大程度上被視為是一個消費者問題。但是當(dāng)攻擊者開始切換他們的加密勒索軟件交付技術(shù)時情況將發(fā)生變化。

企業(yè)可能會認(rèn)為泄漏的信息比加密的信息更重要一些，因為加密的信息都有備份。然而當(dāng)備份被攻擊者加密之后情況就不同了。例如攻擊者通常會試圖黑進(jìn)NAS及其他設(shè)備的備份以便執(zhí)行針對公司的勒索軟件攻擊。攻擊者利用web應(yīng)用程序的漏洞進(jìn)入web服務(wù)器中，然后在一段時間內(nèi)有效地加密數(shù)據(jù)，最終在索要贖金前消除加密。因此所有在過去六個月內(nèi)變化過的數(shù)據(jù)(特別是web服務(wù)器)現(xiàn)在都設(shè)了加密，其中也包括所有近六個月內(nèi)的備份?，F(xiàn)在你會發(fā)現(xiàn)你的網(wǎng)站有大量向你索要贖金的通知，不付的話你就找不回你的數(shù)據(jù)了。

五、DoS攻擊呈增長趨勢

DoS攻擊在過去幾年中都是一個很嚴(yán)重的問題，而在大多數(shù)情況中，企業(yè)已經(jīng)開始學(xué)會如何去適應(yīng)它了。

攻擊者會專注于實際應(yīng)用。因此有了七層DoS攻擊。相對流量水平較低的像是幾百兆位或者一千兆位的，攻擊者能對應(yīng)用程序造成嚴(yán)重的危害甚至使之無法使用。

此外，攻擊者不是通過反射DNS服務(wù)器攻擊的，也不是使用了拒絕服務(wù)攻擊僵尸網(wǎng)絡(luò)，而是通過來自真實用戶的請求。

六、ICS成為攻擊目標(biāo)

攻擊者對如何追蹤工業(yè)控制系統(tǒng)越來越精通了，現(xiàn)在甚至有了定制ICS漏洞的現(xiàn)象，這可是個新消息。這意味著對手對此進(jìn)行了很多的思考與關(guān)注。

此外，攻擊者對ICS系統(tǒng)內(nèi)的特定功能加以利用，同時了解傳遞的重要性。

“攻擊者也證明了目前有許多控制系統(tǒng)至少是隱藏在一個防火墻——即一個邏輯分割之后的。他們同樣在思考以及研究如何專注于傳送而不是凈負(fù)荷。黑客要如何進(jìn)入他們想去的地方?以及我們同樣關(guān)注的一件事，ICS信任關(guān)系。”

結(jié)果，針對生產(chǎn)工程師和這些領(lǐng)域的釣魚攻擊提高了等級，同樣增加的還有針對帶有ICS工程師信息網(wǎng)站的水坑攻擊。更可怕的還有攻擊者開始裝置可用于更新固件的ICS文件及構(gòu)件并且在供應(yīng)鏈中尋找可以替代它們的方式以使惡意軟件通過防火墻進(jìn)入生產(chǎn)環(huán)境。