Hvordan du kan spore og forhindre crimeware attacks


crimeware angrep motivert av penger

Sensitiv finansiell informasjon er et viktig mål for crimeware angripere fordi det gir direkte tilgang til bankkonti, slik at overføring av midler til angripestyrt kontoer. Mens angripere har innsett at målretting point-of-salg terminaler er svært effektiv, målrettet mot individuelle sluttbrukere er også svært lukrativ. Crimeware er først og fremst økonomisk motivert og har som mål å få direkte tilgang til bankkontoer eller stjele penger ved hjelp av en rekke teknikker. Disse inkluderer sporing forespørsler til bank nettsteder og smug omdirigere brukeren til et ondsinnet nettsted for å stjele påloggingsinformasjon via kommando-og-kontroll-servere, installere ransomware (som TeslaCrypt) for å tvinge brukerne til å betale for å få tilgang til sine data, og stjeler passord lagret på datamaskiner for å få tilgang til finansielle systemer. Kommando-og-kontroll crimeware er den mest populære varianten, men en endring i år har vist angripere går mer mot denial of service som en angrepsvektor. Dette gjør at angriperen å kreve løsepenger fra offeret for å gjenopprette tjenesten.

Et nylig eksempel på crimeware er Dyre variant, som bruker omdirigering teknikk for å stjele legitimasjon for banktjenester nettsteder. Programvaren vil vente til brukeren prøver å få tilgang til en bank nettside før omdirigere nettleseren til en klone av nettstedet, som er vert for en angriper styrt domene. Når offeret går sine akkreditiver til klonet nettstedet, blir de sendt til kommando-og-kontroll-servere for behandling. Leveringsmåte av crimeware er vanligvis via en ondsinnet vedlegg i en phishing e-post. Dyre er et eksempel på økende raffinement i hvordan crimeware opererer, som den bruker en tilfeldig generert adresse å kontakte kommando-og-kontroll-server, slik som å unngå deteksjonsmetoder som bruker svartelistede nettadresser for å blokkere tilgang.
Don ' t avkall formell etterforskning

Verizon DBIR viser at crimeware hendelser er mindre sannsynlighet for å bli formelt undersøkt enn andre typer hendelser. Imidlertid bør disse hendelsene gjennomgå de samme formelle etterforskningen prosedyrer som andre hendelser. Selv om det i noen tilfeller er dette ikke alltid gjennomførbart (opportunistiske angrep på hjemmebrukere, for eksempel). Når crimeware er introdusert på organisasjonens systemer, må en grundig undersøkelse for å bli gjennomført, så det kan fortsatt brukes som en metode for å utvinne følsomme bedriftsdata, selv om dette ikke var det opprinnelige målet.

Crimeware er også ofte distribuert som en del av en utnytte sett (for eksempel angler eller Nuclear), og derfor oppdagelsen av visse crimeware stammer kan være en indikator på ytterligere infeksjoner. Som organisasjon, må du forstå hvordan disse infeksjonene oppstår for å identifisere det svake punktet i ditt forsvar. Den mest sannsynlige smitte punktet via epost phishing, noe som betyr at ansatte bevissthet trening kan være nødvendig og e-postfiltre kan trenge tilpasning. Uten å undersøke de enkelte tilfeller vil du ikke lære noe, og systemet vil forbli sårbare.

De fleste modne sikkerhetsprogrammer er i stand til å oppdage crimeware innbrudd, men ikke har arbeidskraft eller vilje til å bruke de nødvendige pengene til å etterforske hver hendelse. De fleste crimeware fortsatt innebærer inntrenging som tar sikte på å kontakte kommando-og-kontroll-servere; derimot, er en ny trend i distribuerte denial of service-stil angrep via crimeware dukker opp - som kan kalles " crimeware som en service " - Hvor spesifikt malware kan være konstruert og levert. Å redusere trusselen, er en forsvars grundig strategi er nødvendig. Sterke tekniske kontroller, kombinert med en pågående personale bevissthet program, kan bidra til å forhindre de fleste crimeware angrep. Investering i overvåkingssystemer og en vilje til å etterforske hendelser kan hjelpe en organisasjon med å finne hvordan en infeksjon skjedde, med mål om å hindre det neste gang.