Könnyen érthető, de fejlett védelmi megoldások nélkül nehezen elhárítható módszert követnek a bizalmas információk ellopására utazó kiberbűnözők.

Cikksorozatunk előző részeiben áttekintettük, milyen galibával jár, ha illetéktelenek rendszergazdai jogosultságokat szereznek, illetve megvizsgáltuk, hogyan is okoz ez komoly fejfájást a vállalatoknak. Jelen írás a privileged identity theft, vagyis a kiemelt felhasználói azonosító-lopás bevett sémáját tárja fel.

Négy, viszonylag jól elkülöníthető fázisra osztható ez a támadási forma. Mindenekelőtt külső felderítést végeznek a kiberbűnözők, majd az így beszerzett információ révén megvetik lábukat a célpont rendszerében. A hálózatba való beágyazódásuk után már belső felderítő tevékenységet folytathatnak, végül pedig sor kerül a megszerzett jogosultságok kiterjesztésére (privilege escalation).

A határok felderítése és behatolás

Az első lépés a megfelelő áldozat megkeresése. Akadnak ugyan példák a rendszergazdák kívülről való tőrbe csalására is, de többségük elég éber ahhoz, hogy az ismeretlen irányokból érkező próbálkozásokat különösebb gond nélkül elhárítsa. Éppen ezért a támadók szinte mindig egy "puhább" személyt keresnek, valaki olyanra vadásznak a szervezetben, aki IT-biztonság tekintetében kevésbé képzett és figyelmes.

A különböző helyekről, jellemzően közösségi oldalakról összegereblyézett információkkal, valamilyen social engineering technikát alkalmazva jutnak egyre közelebb a privilegizált accountokhoz. Jelszóhalász (phishing vagy még inkább spear-phishing) módszerek segítségével próbálják meg becsapni a gyanútlan felhasználókat, jellemzően e-mailben, azonnali üzeneteken vagy közösségi hálózatokon keresztül.

A siker érdekében a hekkerek egyre kevésbé általános, mint inkább célzott támadást alkalmaznak. A kiszemelt alkalmazott környezetéről összeszedett információk felhasználásával megtévesztően eredetinek tűnő üzenetet küldenek. Ezzel verik át a gyanútlanokat, akik azt hiszik, hogy valódi kollégájuktól, főnöküktől kaptak kérést, kérdést.

Minden esetben arra próbálják meg rávenni őket, hogy értékes adatokat, például bejelentkező információkat osszanak meg velük, vagy pedig kattintsanak egy csatolt dokumentumra vagy beágyazott linkre. Utóbbi esetében a nem kellően védett eszköz nyitottá válik a kiberbűnözők számára, akik valamilyen malware-t – például billentyűleütéseket rögzítő keyloggert - telepítve kapnak hozzáférést az adott számítógéphez, tablethez, okostelefonhoz. Innen pedig már gyerekjáték a rajta tárolt azonosítók és egyéb adatok ellopása.

Farkas a falakon belül

Miután sikerült megvetnie a lábát a támadónak a megcélzott rendszerben, már belülről derítheti fel a digitális terepet. Igyekszik megtudni a lehető legtöbbet az informatikai környezetről, feltérképezi a hálózatot és a rendszereket. Ehhez könnyen elérhető diagnosztikai eszközöket (ping, traceroute, netstat) használ. A DNS rekordok ismerete, a portszkennerek eredménye nagyon értékes adatokkal gazdagítja a behatolót az IT-infrastruktúráról.

Ezzel a tudással felvértezve végül nekiláthat a legmagasabb szintű jogosultságok megszerzésének. Itt jellemzően valamilyen kernel- és szolgáltatásszintű exploitot használnak ki, megszerzik az SSH-kulcsot vagy az úgynevezett Pass-the-Hash (PtH) technikát alkalmazzák. Utóbbi esetében a támadó a megszerzett jelszótitkosítási értékekkel más számítógépekhez és rendszerekhez férhet hozzá. Anélkül juthat be számára fontos kiszolgálókra, hogy tudná magát a jelszót, tehát nem kell időt szánnia a visszafejtésre.

Számos szervezet használ SSH protokollt távoli számítógépeinek kezelésére, mely feladat elengedhetetlen része az SSH kulcsok használata. Utóbbiak rengeteg automatizált eljárás alapjául szolgálnak, illetve jelszómentes bejelentkezést biztosítanak a rendszergazdák és a haladó felhasználók számára. Ha a hekker egy malware-rel begyűjti ezeket a kulcsokat, akkor olyan hátsó ajtót hozhat létre a rendszerben, melyen keresztül más kiszolgálókat is elérhet – vagy akár a teljes hálózatot kiszolgáltatottá teheti. Mivel az SSH kulcsok gyakran root vagy adminisztrátori jogosultságot biztosítanak a támadónak, ezzel az információval felvértezve már nem különösebben nehéz kártékony programot telepíteni a kiszemelt rendszerben.

Amint azt említettük, az exploitok is közkedveltek a kiberbűnözők eszköztárában. Segítségükkel kiaknázhatóvá válnak az alkalmazásokban vagy az operációs rendszerekben megbúvó sebezhetőségek. Használatukkal a hekker relatíve könnyen átveheti az ellenőrzést az adott számítógép felett, vagy lehetősége nyílik a már megszerzett jogosultságainak kiterjesztésére.

A helyzet közel sem védhetetlen

Természetesen minden támadás más és más, függően a megcélzott rendszer paramétereitől, a támadók tudásától és céljaitól. Egy valamit azonban fontos leszögezni: a rendszergazdai jogosultságokra utazó kísérletek jó eséllyel semlegesíthetők a megfelelő védelemmel.

Ebben nyújt segítséget a fejlett jogosultság és hozzáférés-kezelés (Identity and Access Management, IAM), mely szabályokon, eljárásokon és különböző technikai megoldásokon keresztül biztosítja az információkhoz történő azonnali, biztonságos és jogosultságokon alapuló hozzáférést. Ennek köszönhetően csak azok érhetik el a hálózati erőforrásokat, akik arra felhatalmazást kaptak a szervezeten belül. Mindezt úgy, hogy közben tevékenységük folyamatos felügyelet és elemzés alatt áll.

Cikksorozatunk záró részében bemutatjuk, hogyan működik egy modern védelmi megoldás.

Biztonság

Ennyi sok pénz megy el a viselhető eszközökre

Jövőre már az 50 milliárd dollárt is bőven meghaladhatja a hordható elektronikai eszközök piaca, az igazán nagy üzlet azonban így is a kapcsolódó adatszolgáltatásokban lesz majd.
 
A 21. századi vállalatok legjobbika is csak félkarú óriás informatika nélkül, rugalmasság és hatékonyság tekintetében azonban jelentősek a különbségek ezen a téren. Vajon az évtized végén hogyan néz ki egy jól működő IT szervezet?

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.