黑客获取数据信息的目的和进攻手段

标签: 黑客 数据 信息 | 发表时间:2014-05-16 19:44 | 作者:u014539179
出处:http://blog.csdn.net



进入微软、亚马逊,谷歌等美国IT企业工作人才项目,起薪40万,百度搜索(MUMCS)

黑客使用进攻取证获取凭证,如用户名和密码。这些都允许他们访问敏感数据同时能够隐瞒自己的身份,以拖延攻击时被发现的时间并避免暴露自己的行踪。黑客寻找这种以半永久记忆的形式获取存在如 RAM 内存或交换文件中的动态/非静态数据。一旦黑客获得暂时存储在明文中的用户 ID 和密码,他们就可以进入下一个等级的访问,进一步获取资源,如内部网站、文档管理系统和 SharePoint 站点,本文来自网届网。

以下为原文:

“一般来讲,黑客执行下一步的网络攻击都需要非静态数据,而进攻取证是一种捕获这种非静态数据的黑客攻击技术,”计算机取证和电子搜索公司 LLC 伯克利分校研究小组的首席研究员 Joe Sremack 表示。

在进攻取证过程中,黑客捕捉内存中的非静态数据用以获取密码、加密密钥以及活跃网络会话数据,这些都可以帮助他们不受任何限制地访问宝贵数据资源。

为了说明这一点,举一个进攻取证攻击的简单例子。进攻取证攻击过成功中黑客会捕捉 Windows 剪贴板,这是一个不够精明的企业网络用户经常复制和粘贴安全密码的地方。黑客通常利用 Flash 的漏洞来展开这种类型的攻击。

“黑客往往利用浏览器中的 Flash 插件结合较弱的甚至错误的配置来读取浏览器的完整信息,包括内存中的密码,”Sremack 说。

安全意识是击败进攻取证的第一步,技巧和战术、及时的行动是第二步。

目的和手段

黑客使用进攻取证获取凭证,如用户名和密码。这些都允许他们访问敏感数据同时能够隐瞒自己的身份,以拖延攻击时被发现的时间并避免暴露自己的行踪。

“他们还想延长时间,以便于其在被发现之前有充足的时间去访问系统和目标数据,从而增加其犯罪所得,” 安全和风险管理公司 Neohapsis 的首席安全顾问 Scott Hazdra 说。

黑客寻找这种以半永久记忆的形式获取存在如 RAM 内存或交换文件中的动态/非静态数据。

“Windows 临时文件、Windows 或 Mac 的剪贴板、从一个 Telnet 或 FTP 应用程序中未加密的登录数据,和 web 浏览器缓存等都是非静态数据目标,”Sremack 说。

一旦黑客获得暂时存储在明文中的用户 ID 和密码,他们就可以进入下一个等级的访问,进一步获取资源,如内部网站、文档管理系统和 SharePoint 站点,Sremack 解释道。

“这基本上是一个黑客必须使用键盘记录器才能够检索到的信息的途径,但没有键盘记录器,”Sremack 说。

这对于黑客来说极为重要,因为反病毒和反恶意软件工具可以检测并移除键盘记录。黑客们则运行其他的各种工具,比如查看剪贴板、注册表或者电脑用明文存储这些数据的任何工具。

这些工具,为黑客实时进行这些进攻时成为一件免费的福利,并且极容易接入互联网。虽然 Linux 上有工具,但是通常犯这种典型错误(以明文将密码储存在剪贴板)的人使在工作站的终端使用者进行攻击取证成为可能,而这些使用者通常运行 Windows 和 Mac 操作系统。

一些黑客使用特定的工具包括脚本工具作为取证的利器。

“还有大范围用于此用途的各样其他工具,包括免费的和高价的,比如 FTK 成像仪、RedLine、Volatility、CAINE 和 HELIX3 ”,Hazdra 说。

企业响应

“进攻取证很难计数,因为攻击目标机器中的文件可能是安全的,而且传统标准也将宣布系统是安全的,但是入侵者却能够访问机器并能捕捉内存,”Sremack 说。

对付进攻取证的方法包括运行能够掩藏和保护内存数据的安全功能。这些类型的应用程序包括 KeePass 和 KeeScrambler。KeePass 是一个加密的剪贴板工具,能够自动清除剪贴板历史,KeeScrambler 则加密浏览历史。

“每当用户将字母键入浏览器,系统就会加密以防止黑客读取储存在内存中的数据,”Sremack 解释道。目前有免费版的 KeeScrambler,同样能对付键盘记录程序的还有付费版本。

最佳实践要求一个企业网络用户必须在一个特定的机器上登陆进行系统活动,这样一来,黑客就更难以消除自己的行踪。此外,企业应该使用文件系统可仅标记文件为“附录”的特性(不会删除或覆盖现有的数据),这样即使是那台特定机器的系统管理员都无权删除所写,除非机器进入离线维护模式,Lancope 的首席技术官 TK Keanini 这样解释道。

放眼大局来看,企业必须做足充分准备,以针对进攻取证袭击作出有效的事件响应。一个企业应该从三个等级做好救援事件响应准备,Keanini 说,每一个等级需要添加一个维度来补充上一个等级力所不及的。

“即使攻击者可以规避其中的一个等级,他们还是终将暴露在其他等级中,“Keanini 说。

第一个等级是端点遥测。每个端点应该有一些负责操作整个设备的系统级程序。

“虽然你永远不能做到 100% 的准确率,然而百分之零的准确率是绝对不可接受的,”Keanini 说。

第二个等级是网关和接入点遥测。在网络的入口和出口上,一些技术应该记录入站和出站连接。这将为网络互联提供检测和网络取证的依据。

第三个等级是基础设施遥测。

“所有的网络基础设施应该展示未取样的 Netflow/IPFIX(流量分析 /互联网协议流信息输出),”Keanini 认为,IT 安全利用跟踪所有元数据水平下网络流量的工具来收集这些数据集。

“这个数据集作为网络的总帐目,能够提供给你网络中最完整的活动列表,”Keanini 说。

如果一个企业用三个等级的遥测技术来武装其自身安全,几乎没有任何攻击或者攻击者可以找到藏身之处。

Keanini 认为,“更重要的是,当黑客进行某种形式的数据挖掘时,在执行其他阶段的攻击时其仍然要想方设法地去掩藏自己。”

在运营阶段,企业可以发现具备这些遥测水平的攻击者,并在黑客完成进攻目标之前做出相应部署。

企业需要时刻留意进攻取证,它像其他攻击技术一样将持续发展进化。进行网络犯罪的黑客将使用一切可能的工具来完成网络进攻,即使该工具本身是良性的,网络黑客也会背离其设计者的初衷而在犯罪过程中歪曲地使用它。

首席安全官和首席信息安全官们需要不断对其 IT 团队和安全团队进行技术培训,来让他们知晓当前的最新威胁及破解途径。大多数 IT 安全团队最终还是需要最新的工具来检测进攻取证攻击的,Hazdra 说。

高价值资产需要最先进的保护模式,以便安全团队能够检测威胁并防止黑客利用取证工具窃取企业数据,Hazdra 认为。

“未经授权使用这些工具的情况很可能发生于大多数企业和组织网络管理的盲区。因为管理员会监控包括网络流量、文件完整性、入侵检测和未经授权的访问尝试等在内的行为,却没有适当的工具来检测系统上执行内存转储的人或者其安全团队是否在使用进攻取证工具,”Hazdra 解释道。

作者:u014539179 发表于2014-5-16 11:44:42 原文链接
阅读:115 评论:0 查看评论

相关 [黑客 数据 信息] 推荐:

黑客获取数据信息的目的和进攻手段

- - CSDN博客系统运维推荐文章
进入微软、亚马逊,谷歌等美国IT企业工作人才项目,起薪40万,百度搜索(MUMCS). 黑客使用进攻取证获取凭证,如用户名和密码. 这些都允许他们访问敏感数据同时能够隐瞒自己的身份,以拖延攻击时被发现的时间并避免暴露自己的行踪. 黑客寻找这种以半永久记忆的形式获取存在如 RAM 内存或交换文件中的动态/非静态数据.

黑客窃取韩国3500万网民个人信息

- Orzogc - Solidot
韩国通信委员会今天公布的一份声明称,黑客在本周早些时候攻击了该国的社交网站Nate和Cyworld,窃取了3500万用户的个人信息,包括社会安全号码、电子邮件地址、用户ID、密码和移动手机号码. 韩国警方表示已经开始调查,调查可能将持续几个月. 韩国经常遭到IP地址来自中国的网络攻击,但中国否认所有黑客指控.

黑客从三菱窃取核电和战斗机信息

- SotongDJ - Solidot
日本最大国防承包商三菱重工在上个月承认它在8月份遭到了黑客攻击. 根据日本共同社的最新报导,三菱服务器上的战斗机研发资料有被移动痕迹,核电信息也可能被黑客窃取. 除了三菱重工外,IHI、川崎重工、富士重工、日立、东芝、三菱电机、日本航空宇宙工业会也收到了针对性的病毒邮件,其中4家企业的计算机被病毒感染.

从数据到信息到决策

- - 博客园_首页
俗话说,忘记历史就是背叛自己,今天这篇用此做开场再合适不过. 这一篇将根据一个虚拟的故事,来介绍如何通过历史数据来帮助一个销售人员发现规律信息从而辅助他来做一些决策信息. 本文的主角是Tim,Tim在一个销售部门,部门最近决定做新一轮销售计划,然后根据计划结束时,各个销售人员的销售业绩来进行KPI考核.

数据压缩与信息熵

- - 阮一峰的网络日志
1992年,美国佐治亚州的WEB Technology公司,宣布做出了重大的技术突破. 该公司的DataFiles/16软件,号称可以将任意大于64KB的文件,压缩为原始大小的16分之一. 业界议论纷纷,如果消息属实,无异于压缩技术的革命. 许多专家还没有看到软件,就断言这是不可能的. 因为根据压缩原理,你不可能将 任意文件压缩到16分之一.

分析CSDN泄漏数据信息的一些数据

- mazhechao - cnBeta.COM
CSDN这次数据泄漏,同时也给了我们一些有趣的分析数据. 我们可以轻松地统计挨踢人士的邮箱使用情况,以及通常的密码长度等信息:.

Anonymous黑客公布102名警察个人信息 将其置于危险中

- xing - cnBeta.COM
黑客集团Anonymous今日再次披露了多达102名旧金山BART轨道交通警务人员的个人详细资料,内容包含姓名,家庭住址,电子邮件地址和密码,这些数据可能将这些警察置于危险之中. BART警务人员协会已经确认此消息,并表示将把问题汇报给FBI.

为什么黑客偏爱字符串数据类型呢【译】

- - 博客园_首页
    字符串数据类型是经常在代码里用于存储硬编码(直接做为固定内容写入了程序,类似于常量)的密钥. 这些可以通用的文字密钥用于连接字符串或特定业务密钥(如优惠券代码,许可证密钥等). 事实上,绝大多数存在于开发应用内的字符串数据类型的敏感数据,让黑客颇感兴趣. 在这篇文章中,我们将介绍一些黑客们过去时常存储在字符串里敏感信息技术.

PopCap:全球手机游戏数据信息图

- Amom - cnBeta.COM
根据PopCap产品经理Tami不久前制作的手机游戏信息图表显示,2010年手机娱乐产业规模已达330亿美元,预计今年手机游戏市场将创收80亿美元,到2014年这一数据将上升至114亿美元. 女性手机游戏玩家占53%,男性用户比例则是47%;女性手机社交游戏用户平均年龄是28.9岁,男性平均年龄则是27.4岁.

信息平台和数据科学家的兴起

- 景峰 - 《程序员》杂志官网
文 / Jeff Hammerbacher. Facebook有了“自知之明”. 在2005年9月,Facebook首次向非大学生公开,允许高中生注册账号. 忠实的用户愤怒了,但Facebook团队认为这是为网站做出的正常方向. 那么它该如何证明它的方案是正确的呢. 此外,在几乎所有可登录Facebook网站的学校中,Facebook已经渗入学生当中,但还是在有部分学校中,该网站一直不受青睐.