???
如果你们认为,美剧中潜入敌对公司,插入U盘然后开始黑掉公司所有网络设备的剧情在现实中不可能出现,那么下面这个攻击事件却是证明公司安保的重要性。
2017 - 2018年,国外专家受邀研究一系列网络盗窃事件。
这些事件中每次攻击都有一个共同的跳板:通过一个未知设备直接连接到公司内网。在某些情况下,该设备显示处于中央办公室,在其他情况下是区域办事处,有时位于另一个国家。
目前东欧至少有8家银行成为袭击的目标(统称为DarkVishnya),造成数千万美元的损失。
每次攻击都可以分为几个相同的阶段。
在第一阶段,网络犯罪分子以快递员,求职者等为幌子进入组织的大楼,并将设备连接到本地网络,例如,在其中一个会议室中。在可能的情况下,该装置被隐藏或融合到周围环境中,以免引起怀疑。
像下图,通常一些公司直接插网线就能够直接上网,这点非常需要注意。
而在DarkVishnya攻击中使用的设备根据网络犯罪分子的能力和个人喜好而有所不同。
在本次案例中,通常为这三个工具中的一种:
上网本或廉价笔记本电脑
树莓派
Bash Bunny,一种用于执行USB攻击的特殊工具
(这玩意可以看这篇文章https://www.freebuf.com/news/128788.html)
在本地网络内部,这些设备显示为未知计算机,外部闪存驱动器,甚至是键盘。
由于Bash Bunny在尺寸上与USB闪存驱动器差不多大(如上图),这使得找这玩意插在哪里特别困难。攻击者会通过内置或USB连接的GPRS/3G/LTE调制解调器远程访问这类设备。
从目标公司植入设备之后,(溜了之后),便开始进行第二阶段,开始内网渗透。
在第二阶段,攻击者远程连接到设备并扫描本地网络,以寻求访问共享文件夹,Web服务器和任何其他开放资源。目的是获取有关网络的信息,尤其是用于付款的服务器和工作站。
与此同时,攻击者试图进行爆破或嗅探这些机器的登录数据。为了克服防火墙限制,他们使用本地TCP服务器植入shellcode。如果防火墙阻止从网络的一个网段访问另一个网段,但允许反向连接,则攻击者使用不同的有效负载来构建隧道,即反弹shell。
成功后,网络犯罪分子进入第三阶段。在这里,他们登录目标系统并使用远程访问软件来保留访问权限。接下来,在受感染的计算机上启动使用msfvenom创建的恶意服务。
由于黑客使用无文件攻击和PowerShell,他们能够避免白名单技术和域策略。如果他们遇到无法绕过的白名单,或者PowerShell在目标计算机上被阻止,则网络犯罪分子使用impacket,winexesvc.exe或psexec.exe远程运行可执行文件。
公司一定要注意安保措施,竞争对手手段很多,内网隔离再多我肉身进去在地上扔一个移动硬盘我不信你不插进电脑看看有啥。(别和我说用DG打开格式化,大多数人还是不会这么想的)
与DarkVishnya攻击活动相关的信息
病毒名:
not-a-virus.RemoteAdmin.Win32.DameWare
Shellcode监听端口
tcp://0.0.0.0:5190
Shellcode 连接内网
tcp://10.**.*.***:4444
Shellcode 管道通信
\\.\xport
欢迎加入知识星球,一顿饭钱,找适合你的资源,提升个人竞争力,内推资源更是数不胜数,还在等什么。
关注一下,谢谢大佬