En el reciente ataques del New York Times , ¿cómo obtuvieron acceso los atacantes al servidor?
Además, ¿hay alguna evidencia de que estos ataques hayan sido lanzados por China, aparte del proxy?
En el reciente ataques del New York Times , ¿cómo obtuvieron acceso los atacantes al servidor?
Además, ¿hay alguna evidencia de que estos ataques hayan sido lanzados por China, aparte del proxy?
El artículo al que has vinculado proporciona tanta información como se conoce públicamente. Así que voy a citar desde allí:
Los investigadores aún no saben cómo los piratas informáticos entraron inicialmente en los sistemas de The Times. Sospechan que los piratas informáticos utilizaron un llamado ataque de phishing por lanza, en el que envían correos electrónicos a los empleados que contienen enlaces maliciosos o archivos adjuntos. Todo lo que necesita es un clic en el correo electrónico de un empleado para que los piratas informáticos instalen "herramientas de acceso remoto", o RAT.
Y también:
Los expertos en seguridad informática identificaron el malware como una cepa específica asociada con los ataques informáticos originados en China.
Lo que significa que este no es el software que vas a encontrar en metasploit. Es algo personalizado que ellos construyeron.
Instalaron al menos tres puertas traseras en las máquinas de los usuarios que usaron como un campamento base digital. Desde allí, buscaron en los sistemas de The Times durante al menos dos semanas antes de identificar el controlador de dominio que contiene nombres de usuario y contraseñas codificadas o codificadas para cada empleado de Times.
Por lo tanto, 3 estaciones de trabajo de empleados comprometidas con RAT (probablemente a través de phishing por correo electrónico) aprovechadas para obtener acceso al controlador de dominio.
Si bien los hashes dificultan la tarea de los piratas informáticos, las contraseñas de hash se pueden descifrar fácilmente con las llamadas tablas de arco iris, bases de datos de hash disponibles para casi todas las combinaciones de caracteres alfanuméricos, hasta una cierta longitud.
Se sabe que Active Directory utiliza hashes sin sal para el almacenamiento de contraseñas. Hay varios métodos que usa AD para las contraseñas de hash, ninguno de ellos es muy seguro ... excepto tal vez en comparación con las formas anteriores de las contraseñas de hash de Microsoft. Su seguridad se basa principalmente en la suposición de que los controles de acceso de Windows evitarán que el atacante recupere los hashes. Pero si el atacante usa un ataque de phishing dirigido para comprometer la estación de trabajo de alguien que tiene el acceso necesario, AD no pondrá mucha más resistencia y el atacante podrá aprender la contraseña de todos.
Después de descifrar las contraseñas almacenadas en AD, los atacantes tienen las credenciales necesarias para hacer lo que quieran. En este caso, lea el correo electrónico.