あなたが野生で見つけた侵入者によって使用される最も洗練された技術は何ですか?
私はインシデントに関与し始めています。そのうちのいくつかはAPT(Advanced Persistent Threat)です。
「参考文献」や会議やセキュリティe-Zineで利用できる複雑さにもかかわらず、侵入者が使用していることがわかった手法は、ほとんどのネットワーク侵入、会社の従業員に送信されるマルウェアベースの侵入、または次に、パスワードを盗み、パッチが適用されていないサーバーの非常に古い脆弱性を悪用する管理に侵入します。
コバートチャネルまたはカーネルルートキットを見つけたことがありません。そして、ほとんどの場合、侵入者が使用したすべてのバックドアとツールは、ファイルシステム上に明確に残されていました。
事件についてのあなたの経験は何ですか?侵入者によって使用されるいくつかの高度な技術、またはほとんどすべての侵入が単純で古い技術を使用して行われていることを発見しましたか?
ボグの標準的なウイルスの発生には、ルートキット、バックドア、および秘密のチャネルがあります。コマンドアンドコントロールへの暗号化された通信は十分に神秘的であり、それを調査しなければならない深さは、その種の分析を実際のセキュリティの外に置くため、誰かがそれらを利用しているのかどうかを判断するのは難しいです。
奇妙なことに、IDSはそれを検出せず、トラフィックパターン分析もしませんでした...これは私見ですが、恥ずべきことです。正常なシステムが更新を取得し、共有上の感染ファイルを確認したときに、AVがそれを検出しました。
それは恥ずかしいことです...問題が私のコントロールにあったら。私は問題のクリーンアップと文書化のみを担当しました。私の提案はほとんど無視されましたが、その呼びかけをしたのは経営者のリスク評価であり、私はそれを尊重します。
もちろん、私は銃殺隊の前に置かれ、wiresharkを持った幼児がすべての地獄が解き放たれているのを見ることができたのにIDSシステムが何も検出しなかった理由を幹部に説明しました。
これは私に直接起こったことではありませんが、オンラインで知っている人がこの話とペイロードを共有しました。彼は明らかに、ストックTAOマルウェアの標的にされていたようです。これは、起動時にメモリ内のカーネルにパッチを適用したBIOSペイロードでした。また、正しく実行できなかった場合にマシンをブリックするためのペイロードも含まれていました。その場合、デバイスを1つの特定のバッテリーシリアル番号にロックできる多くのラップトップのほとんど知られていない機能を悪用します。この機能を有効にし、必要なシリアル番号を存在しないものにロックすることにより、システムは事実上、再起動を拒否します。
詳細は https://cpunks.org/pipermail/cypherpunks/2015-December/011197.html にあります。これは非常に興味深いと思います(バッテリーのシリアル番号は彼が言及したPDoSです)。