Clever Geek Handbook

サイバースパイ:ロシアおよび韓国のハッカーを阻止することは可能ですか(UBAを使用)?

以前は、民主党の全国委員会に侵入するために、非仮想窃盗犯は、ファイルキャビネット内の実際のドアロックと「不法行為」を解く必要がありました。 たとえば、ジェット戦闘機の生産の秘密の窃盗には、所有者の不在下での施設への違法侵入が含まれ、泥棒の才能のいくつかの実装、およびたとえば小型スパイカメラの仕事の特徴に関する特定の知識の活性化が必要です。 次に、このスパイは、同じ封筒を交換して、マイクロフィルムを宅配便業者に転送できます。



時代は変わりました。



画像







過去数日間にわたって、2つの物語が、現代のスパイ行為がハッキングとどの程度絡み合っているかを示す十分な証拠を提供してくれました。 サイバースパイは、法執行機関のIT部門の職場を離れることなく、一流のintelligence報活動を行うことができます。



「スパイは私たちのようなものです」



昨日、ワシントンポスト紙はロシア政府のハッカーがDNCコンピューターネットワークに侵入したことを発表しました。



DNCネットワークハッキングストーリーに関与したセキュリティ専門家によると、サイバースパイはDNCコンピューターを慎重に侵害し、すべての電子メールとチャットメッセージを読むことができました。



残念ながら、このニュースは驚くことではありません。 実際、これが起こると予測されていました。



2つの独立した、場合によっては競合するロシアのハッカーグループがこれに参加したと考えられており、その1つは昨年の夏にDNCネットワークにすでに導入されていました。 スポンサー情報は受信されませんでした。 ハッカーはスパイ活動に従事し、DNCネットワークに投稿されたドナルドトランプの反対に関する情報にアクセスしました。



後に朝鮮半島で、韓国当局はアメリカのF-15戦闘機の翼設計に関連する40,000の文書を公開し、北隣国による使用を喜んで受け入れました。



ステルス攻撃



まず、ロシアのハッカーとの事件を見てみましょう。



DNCネットワークのハッキングに関与するロシアのサイバーグループの1つはCozy Bearと呼ばれます。 これは、ホワイトハウスのサイバー攻撃の責任を主張したのと同じグループです。 2番目のグループはFancy Bearと呼ばれ、ゼロデイ攻撃を使用することで知られていました。



セキュリティの専門家は、両方のグループも以前にフィッシング攻撃を使用したと言います。 Cozy BearとFancy Bearはロシアの特別サービスに関連していると考えられています。



ただし、現時点では、ハッカーがDNCネットワークにどのように侵入したかは正確にはわかりません。



ただし、ネットワークへのアクセスを取得した後、特定のキーが押されたときにリモートでログインし、コマンドを実行し、ファイルを転送できるリモートトロイの木馬(RAT)とブックマークを導入することが知られています。 ロシアのサイバー犯罪者は、管理と制御(C2)コマンドを使用して、HTTPストリーム内のRATの管理を支援しています。



また、IT管理者が心配している間、一部のDNCネットワークユーザーは1つ以上のWebサイトを使用しましたが、実際、これらのC2 Webサイトはサイバー犯罪者によって導入され、攻撃の整理に使用されました。



ロシアのサイバースパイは、PowerShell(マルウェアのないハッキング)コマンドを使用してアクションを偽装しました。 また、Pass-The-Hash / Pass-The-Ticket攻撃で、非表示のPowerShellスクリプトとして実行されたMimikatzから資格情報を盗みました。



特殊部隊の前で帽子を脱いで、北朝鮮が同様の方法を使用したと言っても安全です。 たとえば、偽のApple IDを含むメールフィッシングは、Sonyの大規模なDoxing Pyongyangへの最初のエントリに使用されました。



大韓航空に対して行われた現在の攻撃は2014年に始まりました。 北朝鮮のサイバースパイは、前述のステルス手法を使用して、インプラントを追跡し、追跡する能力を超えて文書を抜き取っている可能性があります。



スパイレッスン



上記のすべてを見ると、残念ながらこれは新しいものでも珍しいものでもありません。 実際、過去数年にわたってこうした事件の追跡に携わっている人々にとって、さまざまな方法とツールが同じパズルの一部にすぎないことは明らかです。



非常に長い間、スマートハッカーはフィッシング、SQLインジェクション、またはゼロデイ攻撃を使用して、保護の境界を回避しました。 そして、中に入るとすぐに、目に見えない状態を保ち、ウイルススキャナーのトリガーを回避する多くの方法がありました。



「高い壁」を構築しようとする代わりに、ハッカーが内部にいるときにハッカーから保護するためのより実用的な方法は、データへのアクセスを防ぎ、機密データを漏らすことです。



DNCと大韓航空の両方のケースで、ITチームは最終的にいくつかの異常に気付きました。 ただし、この時点では、内部の電子メールの流通とデータ削除の監視を改善するには遅すぎます。



はるかに優れたソリューションは、このような異常の検出を自動化することです。これにより、ユーザーが異常な時間にファイルへのアクセスを開いたり、実行可能ファイルをほとんど起動したり実行したりしないユーザーがPowerShellを使用してこれを行う場合、シグナル不安。



この場合、ユーザー行動分析(UBA)について話します。 これらのケースは、フォローアップ監査中のIT専門家の仮定または盲目的な運に基づいて、機密データの保護が非常に重要であることを教えてくれます。



代わりに、予測可能なUBAアルゴリズムは、現在のアクセスモデルを履歴モデルと比較して、ハッカーをリアルタイムで見つけることができます。



IT組織がハッカーやサイバースパイをスパイするのをUBAが支援できると想像してください。 エージェントを訓練して装備するよりもはるかに効率的で安価です。 ほぼ007!



UBAを取得したいですか? ヴァロニスがどのようにデータを保護できるかについて、詳細をご覧ください!


More articles:


All Articles