针对企业新的网络攻击策略

针对组织的一些最大的威胁和攻击，无论规模大小和行业垂直，都会涉及Internet的公开服务，如RDP、SSH、SMB、HTTP。根据Bitdefender遥测的数据显示，对RDP服务的暴力攻击占所有基于网络攻击的65%以上。网络罪犯经常探查面向Internet的服务和RDP连接端点，以便让组织外部的人远程拨号。一旦进入目标机器，他们试图删除安全解决方案，并手动部署勒索软件或横向移动工具等威胁，旨在渗透和破坏基础设施中的其他机器。

如果没有正确配置和保护，RDP可以作为组织内的网关，有效地使威胁参与者访问敏感的内部资源。暴力破解密码是一种方法，因为网络罪犯使用试错的方式获取用户密码或其他凭证等信息，甚至向服务器发送多个分布式请求，以寻找一对有效的凭证。网络罪犯还试图利用RDP服务中未修补的漏洞来执行远程代码执行，并控制这些网关。例如，Microsoft RDP服务中最近出现的一个蠕虫式安全缺陷允许攻击者远程控制脆弱的系统(BlueKeep - CVE-2019-0708)，这是威胁行动者用来危害组织的最新的此类攻击载体之一。

这些类型的攻击与行业无关——组织只需要持有一个公开的服务器。如果成功，攻击者可以在基础设施中横向移动，并危及其他服务器或端点，以确保持久性、访问和窃取高度机密的数据，甚至部署破坏性威胁来削弱组织或掩盖他们的踪迹。

威胁行动者还喜欢通过SQL或命令注入针对web服务器的攻击，因为它们可以在机器上启用远程代码执行功能，并将其用作组织内的网关或横向移动中枢。

SMB攻击也成为威胁行动者常用的攻击策略，因为这些SMB服务器通常位于基于Windows域的网络架构上，允许所有员工从这些网络共享中复制文档。因此，通过诸如EternlBlue或DoublePulsar之类的攻击来破坏这些SMB服务器，可以让攻击者利用它们作为入侵组织、横向移动、搜索其他高价值主机，甚至可以从暴露共享的网络中远程调度计算机上的任务。

Active Directory泄露也是网络犯罪分子的首要任务。最近的调查甚至显示，威胁参与者可以在不到两小时内成功入侵一个组织的广告服务器。这个网络犯罪团伙利用一家金融机构雇员打开的一份有问题的电子邮件附件，成功地破坏了基础设施中选定的机器，在基础设施中悄悄移动，并部署了持久性和横向移动工具。当网络犯罪团伙专注于瞄准和损害特定的垂直领域时，他们对这些基础设施的工作方式、关键评估可能位于何处以及公司可能拥有何种网络安全防御有着深入的了解。

（编辑：阜新站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!