¿Cuáles son las técnicas más sofisticadas utilizadas por los intrusos que ha encontrado en la naturaleza?

2

Estoy comenzando a involucrarme en incidentes, algunos de ellos son APT (Amenaza Persistente Avanzada).

A pesar de la complejidad disponible en la 'bibliografía' y en las conferencias o la publicación electrónica de seguridad, las técnicas que he encontrado utilizadas por los intrusos son para la mayoría de los robos en la red, la entrada de malware a través de correos electrónicos enviados a los empleados de la compañía o y luego roban contraseñas y rompen la vulnerabilidad muy antigua de explotación gestionada en un servidor no parcheado.

Nunca he encontrado Covert Channel o Kernel Rootkit. Y, en su mayor parte, todas las puertas traseras y las herramientas utilizadas por los intrusos se dejaron en claro en el sistema de archivos.

¿Cuál es tu experiencia con el incidente? ¿Ha encontrado algunas técnicas avanzadas utilizadas por los intrusos o, en su mayor parte, todas las incursiones están enojadas mediante el uso de técnicas simples y antiguas?

    
pregunta boos 23.02.2012 - 22:55
fuente

2 respuestas

2

Los brotes de virus estándar de Bog tienen rootkits, puertas traseras y canales ocultos. Es difícil saber si alguien los está utilizando, ya que las comunicaciones cifradas para el comando y el control son lo suficientemente misteriosas, y la profundidad con la que se debe investigar hace que ese tipo de análisis quede fuera de la seguridad práctica.

Curiosamente, el IDS no lo detectó, ni el análisis del patrón de tráfico ... lo cual es IMHO, vergonzoso. El AV lo detectó cuando los sistemas en buen estado se actualizaron y vieron archivos infectados en los recursos compartidos.

Sería embarazoso ... si los problemas estuvieran bajo mi control. Solo era responsable de la limpieza y la documentación del problema. Mis recomendaciones fueron en su mayoría ignoradas, pero fue la evaluación de riesgo ejecutiva la que hizo esa llamada y la respeto.

Por supuesto, me pusieron frente al pelotón de fusilamiento para explicar a los ejecutivos por qué el sistema IDS no detectó nada cuando un niño pequeño con Wirehark pudo ver que todo el infierno se estaba desatando.

    
respondido por el mgjk 23.02.2012 - 23:31
fuente
1

Si bien esto no es algo que me sucedió directamente, una persona que conozco en línea compartió esta historia, así como la carga útil. Al parecer, había sido atacado con lo que podría ser un malware de TAO. Fue una carga de BIOS que parchó el kernel en la memoria cuando se inició. También contenía una carga útil para bloquear la máquina en caso de que no se ejecutara correctamente. En ese caso, abusaría de una característica poco conocida en muchas computadoras portátiles donde el dispositivo se puede bloquear a un número de serie específico de la batería. Al habilitar esta función y al bloquear el número de serie requerido en uno que no existe, el sistema efectivamente rechazará el arranque nuevamente.

Algunos detalles se encuentran en enlace que me parece bastante interesante (el número de serie de la batería es el PDoS que mencionó).

    
respondido por el forest 05.04.2016 - 02:21
fuente

Lea otras preguntas en las etiquetas