IT業界資訊媒體

【唔係拍戲!】卡巴斯基重現黑客入侵銀行全過程

大家睇戲可能睇過:黑客誘導公司僱員將 USB Flash Drive 插入公司電腦,藉此遠程攻擊網絡。原來同樣嘅劇情,現實生活中真係會上演!

卡巴斯基實驗室用咗一年時間研究企業網絡入侵事件,發現所有入侵事件都有一個共同點:一個未知裝置連接到公司內部網絡。其中東歐至少有八間銀行成為此類型目標,攻擊統稱「DarkVishnya」,已造成千萬美元損失!

卡巴斯基在報告中重現黑客入侵全過程:

第一階段:攻擊者偽冒身分,喬裝成快遞員、求職人員等潛入目標大廈。趁機將裝置連接到內部網絡,一般選擇會議室等不易被發現的場所。

所用到的裝置包括:低成本電腦、Raspberry Pi 電腦、Bash BunnyUSB 攻擊工具),此類裝置通常會被本地網絡識別為未知電腦、flash drive 甚至 keyboard,所以好難被察覺。

攻擊者再透過裝置內的惡意程式,又或是 USB 連接 GPRS/3G/LTE modem 進行遠程訪問。

第二階段:掃描本地網絡,尋找可被訪問的共享文件夾、Web 服務器等開放資源。目的係獲取網絡資料,尤其係同支付業務有關的伺服器。然後再試圖暴力破解登陸憑證,同時釋放 shellcode 對抗 firewall

第三階段:成功登陸系統後,攻擊者就會用遠程控制軟件留下訪問後門,再用 msfvenom 創建惡意服務。由於攻擊者使用無文件攻擊(Fileless Attack)及 PowerShell,就可以避開 whitelisting domain policies。就算避唔過 whitelist,攻擊者同樣可以用 impacket 等可執行文件發起遠程攻擊。

全過程一氣呵成,拍戲都冇咁順。物理層面的防護好容易被忽略,企業應注意物理隔離,隨時監控公司網絡。

資料來源:https://bit.ly/2PvPBtv

相關文章:

【一觸即潰】研究:多數 ATM 都可在 20 分鐘內被攻破 https://bit.ly/2An4zMV

【黑客提前過聖誕】惡意程式攻擊針對聖誕用品供應商 https://bit.ly/2DbIGU3