Bedrifter som ikke har omfavnet betydningen av antiphishing, sterk autentisering, rask patching og nettverksovervåking vil være vellykket utnyttet av fremtidige Red October-lignende angrep.
Kaspersky forskning avdekket at Red October, på det tidspunktet den ble oppdaget, hadde vært aktive i minst fem år, som opererer nesten uoppdaget. Cyberespionage angrep er ikke ny, men de har blitt betydelig mer sofistikert. Det er nå ofte trivielle for angripere å infiltrere organisasjoner i flere måneder, om ikke år, uten å bli oppdaget. Men, ved å dissekere disse avanserte angrep, kan bedriftene lære viktige leksjoner.
I dette tipset, vil vi diskutere detaljene i Red October malware kampanjen og hva bedriften sikkerhets team kan lære av det for å oppdage fremtiden angrep.
Red October malware kampanjen avdekket
Red October målrettet flere hundre ofre siden 2007, om ikke tidligere. Forfatterne gikk etter vitenskapelig forskning, diplomatisk, myndigheter og støtte organisasjoner over hele verden, men hovedsakelig i Øst-Europa. Basert på teksten og navn i malware, Kaspersky Labs tilskrives Red October moduler til russisktalende utviklere og utnytte utviklingen til kinesiske hackere.
Gjennomføring av kampanjen viste seg å være lik noen andre nyere, høyprofilerte angrep; det startet med et phishing-angrep bærer en ondsinnet vedlegg som, når henrettet, utnyttet Microsoft Office og Java-sårbarheter. Derfra bakdører og kortsiktige kjør fått tilgang til lokale systemer, sette opp vedvarende tilgang og deretter benyttet moduler for passord stjele, keylogging og skanning for andre systemer til angrep. Sluttspillet var typisk å identifisere legitimasjon for å få tilgang til eksterne systemer eller systeminformasjon i den hensikt data exfiltration. Det lastet ned instruksjoner fra sin kommando-og-kontroll (C &C) server, inkludert ny malware, deretter skannet for målrettede data og exfiltrated den til sin C &. C infrastruktur, som inkluderte fullmakter til å skjule hovedserveren
The Red October kampanjen gjorde har noen unike komponenter som differensiert det fra standard malware angrep, inkludert dybden av angrepet rekognosering på målet nettverket, planlegging som gikk inn i angrep og rammeverket. Hver målsystemet fikk et offer ID som tillot angriperne å spore dem mer effektivt. Gitt størrelsen på angrepet, ville dette offeret ID tillate at angriperen bedre analysere og kontrollere det store nettverket av kompromitterte enheter. Denne sporingssystem også lov angriperne å målrette malware (og for å unngå gjenbruk av samme malware), slik at de kan holde seg under antivirus radaren i årevis. Den malware hadde funksjonalitet for å gjenopprette tilgang til sin C & C infrastruktur når en bestemt type vedlegget ble mottatt, noe som gjør for raskere exfiltration av potensielt høy verdi data
Uvanlig, det brukes NTFS lavt nivå APIer og. adgang til å søke etter slettede data og å gjenopprette målrettede data. Under nettverks skanner, Red October angriperne så for Cisco-rutere som potensielt kan brukes senere for å skade det nettverket. Selv SIP konfigurasjonsdata ble tatt til fange, som tillot angriperne til potensielt lytte til telefonsamtaler. Informasjonen ble også samlet fra iPhone, Nokia og Windows mobile smarttelefoner til videre identifisere målrettede data
Red October respons. Undersøk eksisterende, nye kontroller
I form av leksjoner for enterprise sikkerhetsteam, Red October i stor grad brukes angrepsmetoder at organisasjoner skal allerede være i stand til å forsvare fra, hvis de har sikkerhet grunnleggende på plass. Bedrifter som ikke har omfavnet betydningen av antiphishing, sterk autentisering, rask patching og nettverksovervåking vil være vellykket utnyttet av fremtidige Red October-lignende angrep. Derfra ytterligere supplerende forsvar er verdt å vurdere. Søknad hvitlisting, for én, kan ha forpurret uautoriserte kjør på målet systemer. Det er også en voksende sak skal gjøres for nye anomali-deteksjon produkter, som de fra leverandører som FireEye og Damballa. Sterk to-faktor autentisering, men ikke et nytt forsvar, kan brukes til å hindre angrep på legitimasjonen.
Red October bør sees på som et skilt som angir hvor avanserte angripere kommer i form av omfattende, multifunksjonelle innholdet i sine angrep og understreker viktigheten av å justere sikkerhetsprogrammer for å effektivt forsvare seg mot dem. Som alle andre vellykkede angrep, vil angripere bruker metoder og ideer fra Red October kampanje i fremtidige angrep, selv om angrepene er offentlig kjent. Bedrifter må planlegge for angrep som vil rival omfattende karakter av Red October i de kommende årene, som mindre sofistikerte angripere ta i bruk disse nye taktikker. Bedrifter bør prioritere arbeidet med å revurdere sine omgivelser og bestemmer hvor kontrollene kan forbedres eller nye verk for å hindre lignende angrep
Fra redaksjonen:. Mer om hvitliste
Bruce Schneier og Marcus Ranum debatten Verdien av hvitlisting og svartelisting.
Lær hvordan søknaden hvitlisting kan gi et ekstra lag med beskyttelse mot malware.