来自 DDOS 2021-06-10 13:05 的文章

香港高防ip_高防云服务器价格_指南

香港高防ip_高防云服务器价格_指南

2018年11月5日出版作者:Aditya Tirumalai Sundararam和Akshay Nayak曾经是你的现在是我的…深入研究一系列涉及网络钓鱼和账户泄露的网络攻击信息安全一直处于一个不断变化的状态。进攻和防守技术都在不断发展。但正如尤利西斯•S•格兰特所说的"战争……战争永远不会改变"。同样,局域网ddos防御,当涉及到网络事件和数据泄露时,人们永远不会改变。在任何组织的安全问题上,人仍然是最薄弱的环节。威胁行为体利用人类心理的技术的有效性证明了这一点。Securonix最近发现了多起涉及office365的网络钓鱼事件,这些事件同时使用了帐户泄露和数据过滤。威胁情景下面是一个典型的网络钓鱼攻击,然后是帐户泄露的示例:初始帐户泄露过程攻击者的主要目标是泄露受害者的帐户详细信息。攻击者可以使用多种方法来实现这一点,其中一些方法可以包括:网络钓鱼攻击者使用的网络钓鱼攻击有很多种类型,包括:捕鲸式网络钓鱼,它使用的电子邮件可能来自C级公司高管;假装是USPS或UPS软件包发货确认的电子邮件;警告银行账户泄露的通知电子邮件;等等。甚至有网络钓鱼攻击电子邮件声称来自谷歌,微软,或其他电子邮件提供商的公司可能正在使用。网络钓鱼不仅发生在电子邮件上,而且也可能发生在社交网站上。网络钓鱼技术的聚宝盆发展的速度远远快于旨在阻止它们的安全控制措施。Vishing公司vishing是基于语音的网络钓鱼的简称,是指骗子使用手机获取受害者的个人和财务信息。在一种常见的假扮方式中,骗子打电话给受害者,冒充微软认证的专业人员或其他有执照的计算机技术人员。他们让毫无戒心的用户相信他们的电脑感染了恶意软件,并提出将其删除。如果用户接受,骗子可能会要求支付信息以消除虚假的"感染",从而获取受害者的财务详细信息。骗子还可能安装一个远程管理工具来"修复"这个问题,这给了他们一个进入受害者计算机的后门,可以用来过滤数据或安装键盘记录器或其他恶意软件。骗子甚至可能诱骗受害者提供帐户凭证,以"排除故障"。其他方法网络钓鱼和vishing是两种最常见的窃取用户凭据的方法,但这并不意味着它们是唯一的方法。攻击者还可以通过不分青红皂白的驾车攻击(当随机用户只是访问受感染的网站)或有针对性的"水坑"攻击(当攻击者通过感染一个由大型访问的战略选择的网站来针对特定人群时),在用户系统上安装恶意软件来获取用户凭据目标群体的百分比)。此恶意软件可编程为安装键盘记录器并向攻击者发回凭据。攻击者还可以使用更多方法来捕获用户凭据。但是,捕获这些凭证只是攻击者的第一步。真正的攻击发生在这次盗用证件之后。增殖性感染情节越来越复杂…对于攻击者来说,突破初始安全性通常是最困难的部分。这是因为大多数组织都部署了多个安全控制来在初始入侵阶段阻止攻击。许多安全小组全神贯注于监视和封锁周边入口,忽视了内部威胁。这些内部威胁可以由复杂和不可预测的实体(如高级持续威胁(APT)和国家黑客组织,甚至是流氓内部人员造成。与电子邮件网关、下一代防火墙和端点解决方案等安全控制一样先进,攻击者也设计了无数绕过这些安全控制的方法。如果一个组织不能正确地监控它所使用的应用程序,不管它们是在本地还是在云中,那么这就是该组织牢不可破的盔甲上的一个裂缝。下面是一个攻击者如何利用这一事实的图表。 图1:账户泄露和数据过滤 一旦攻击者有了被盗的凭证,他们现在可以登录到用户的帐户进行破坏。攻击者使用的一些技术包括:获取同事的资格证书威胁参与者将精心设计的钓鱼电子邮件从受危害的帐户发送给组织中的其他用户。由于员工通常信任来自同事的电子邮件,这种方法对攻击者非常有效。有一些office365主题的活动利用了这种技术,其中攻击者使用非正式的主题行,如"FYI"和"Fw:Payments"。另一种非常有效的内部网络钓鱼技术是BEC(商业电子邮件泄露),攻击者从公司高层管理人员的泄露帐户发送电子邮件。这会产生最多的结果,因为几乎每个员工都会毫不眨眼地用任何被要求的信息回复这些电子邮件。获取外部账户的凭证攻击者还可以通过向外部用户发送电子邮件,将受损帐户用作网络钓鱼或恶意垃圾邮件(通过电子邮件传递的恶意软件)活动的温床。这就产生了一个很大的责任问题,公司可能会因为另一家公司的网络事件而受到指责。事实上,Securonix已经发现这种攻击发生在我们的一个客户身上。攻击者正从一个受损的电子邮件帐户向外部域上托管的多个电子邮件地址发送网络钓鱼电子邮件。通过恶意软件或后门安装进行横向移动在Office 365等应用程序套件链接到Active Directory(Azure AD)的情况下,攻击者可以访问组织的云桌面基础设施。然后攻击者可以使用诸如传递哈希或传递票证之类的技术横向移动。一旦攻击者找到了关键目标,如域控制器或成员服务器,防御cc虚拟主机,组织的基础设施就是他们的牡蛎,只有他们的想象力限制了他们的能力。数据渗漏一旦攻击者访问了一个或多个使用被盗凭证的帐户,就可以开始数据过滤。威胁参与者为此目的使用了许多方法,但是根据Securonix的最新发现,本节的重点将主要是基于电子邮件的过滤。邮箱规则操作一旦攻击者登录到用户的邮箱,他们将尝试创建新的邮箱规则,或修改现有的邮箱规则,linux系统ddos防御系统,启用ddos攻击防御什么意思,以便秘密地过滤数据。为了让魔鬼得逞,攻击者会非常有创意地避免引起用户和安全控制的怀疑。在一次这样的攻击中,Securonix发现攻击者创建了一个自动转发规则,将所有电子邮件转发到攻击者的电子邮件地址。但这还不是最好的部分!创建转发规则后,任何转发的邮件都将在用户的收件箱或用户选择的其他文件夹中创建电子邮件的副本。为了防止用户注意到许多收到的电子邮件被转发到一个随机的电子邮件地址,攻击者还将这些电子邮件在自动转发后从用户的收件箱中删除。这样一来,用户甚至不记得收到过那些电子邮件。特权账户-新的可能性如果攻击者成功地获得了对邮件服务器的访问权限,他们就可以创建更加诡诈的邮箱规则。Securonix有理由相信,在这种情况下,攻击者已经将自己添加到一个或多个分发列表中。这意味着,无论何时向该通讯组列表发送电子邮件,它也会发送给攻击者。在这次攻击中,由系统管理员的电子邮件地址发送给公司员工的电子邮件也被发送到攻击者的电子邮件地址。更吸引人的是,其中一封邮件是系统管理员发送的,目的是向员工介绍某个网络钓鱼活动!检测方法攻击包括多种技术,因此需要多方面的检测方法。检测的第一步是尽可能地启用对用户活动的审核和日志记录。可以利用以下日志源(此处以Office 365和Azure AD为例,但也可以使用来自其他应用套件(如Google)的等效日志):电子邮件日志邮件跟踪/跟踪日志–包含有关电子邮件的信息,如发件人和收件人的电子邮件地址、主题行、文件大小等。电子邮件网关日志–类似于Office 365邮件跟踪日志,但包含更详细的信息。Exchange审核日志–包含有关邮箱上执行的不同活动的信息。这包括但不限于登录、邮箱规则创建或修改,以及在通讯组列表中添加或删除用户。Azure AD或VPN日志如果使用Office 365凭据登录到Azure云环境,ddos攻击与防御教材书,则可以在这些日志中找到任何登录活动。如果部署了VPN解决方案,它还将包含登录信息。代理或下一代防火墙日志代理或下一代防火墙日志可以提供有关在钓鱼电子邮件中单击的任何链接的信息。Google提供了自己的一组日志来监视邮箱活动或其所有应用程序中的任何其他活动。下表描述了整个攻击的不同阶段、创建的相应日志以及可用于检测攻击的启发式方法:攻击阶段利用日志源启发式对手发送的网络钓鱼电子邮件邮件跟踪日志(Office 365)电子邮件网关解决方案日志(Mimecast、Proofpoint等)来自一个在视觉上与co相似的域的电子邮件