Anatomia di un attacco

Capire l’anatomia degli attacchi per rimanere un passo avanti

Le buone difese informatiche reagiscono prima che l’attacco sia stato portato a segno.

In questi casi il firewall entra in azione e difende la rete, ma se la rete non è ingegnerizzata bene; le impostazioni a protezione non possono limitare il danno del malintenzionato che cerca la falla che permette la penetrazione dell’innesco per l’exploit.

Bisogna però specificare che l’Intrusion Prevention System agisce proreattivamente, eliminando gli exploit che sono già stati catalogati ed identificati, ma per quelli costruiti su misura, l’azione dell’apparato risulta poco efficiente anche se, il sistema fa transitare in anticipo i pacchetti all’interno di un sistema di filtering di Fortinet che controlla gli arrivi delle chiamate e cerca di demolire gli exploit mediante resolver che lasciano puliti i pacchetti in entrata.

Diciamo che il limite di protezione coincide con  l’investimento fatto e che la protezione viene innanzitutto messa in atto nel momento in cui si definiscono i canoni di rete che si vogliono rispettare; come anche  le Compliance che si intendono condividere nelle attività aziendali.

Comprendere le caratteristiche dell’exploit – però – è il nostro lavoro che come analisti di sicurezza e reverser engineer ci fa capire chi, o che cosa, abbiamo davanti come lanciatore.

Raggiunto però il punto di meta, possiamo mettere in funzione una serie di contro misure che definiscono anche le modalità di difesa da adottare ed eventualmente, studiare il contrattacco da scagliare.

Conoscere il nostro nemico significa, sapere con precisione, cosa fare e quante risorse spendere per bloccarlo per poi mettere in atto una devastante annientamento delle sue cyber-strutture.

Questa è legge non scritta tra di noi.

Far crescere le nostre difese vuol dire infliggere al nostro nemico delle perdite.

Ogni vettore dell’operazione d’attacco ha in sé la sua propria contromisura per difendere e offendere per forza maggiore.
La curva che compie il vettore dell’attacco, ha un suo punto di partenza – per cui – risolti tutti i cammuffamenti e le false piste, resta solo il suo principio e – questo target è vulnerabile perchè – è individuato.

Qui troverete 7 passaggi chiave dell’anatomia di un’attacco informatico.

1. Primo passo – LA RICOGNIZIONE
Per prima cosa si devono capire le tecniche e le  attività di ingegneria sociale che sono state utilizzate per conoscere lo scenario di base su cui poi si sono andati a scegliere i bersagli e il malware da iniettare.
2. Seconda fase – LA PREPARAZIONE
L’aggressore prepara un dettagliato piano per l’exploit che è volto inizialmente a scansionare le vulnerabilità della sua vittima, come abbiamo visto prima.

Lo scenario è all’inizio, il payload parte sull’host, la goccia di veleno viene inizializzata e una botnet viene attivata.
3. Attività – IL LANCIO
Diverse tipologie di tecniche Web e e-mail sono lanciate in profondità. L’efforce è iniziato. Una attesa è d’obbligo e l’ascolto sul raggio d’azione, regola la dirittura di arrivo del prossimo vettore.
Il delinquente misura subdolamente il suo tiro e cerca di restare ben nascosto. L’hacker, si sente sicuro di se stesso.
4. Nel cuore – L’EXPLOIT
Portare a segno l’attacco, significa aver capito bene le vulnerabilità della propria vittima. Lo zero-day, è fra le note più sfruttate dagli attaccanti per ingannare le proprie vittime.
5. L’ospite – L’INSTALLAZIONE
L’attaccante nascosto, porta il payload iniziale e si connette a un altro host per installare il suo malware specificatamente modificato a suo interesse e, quasi sempre, lega i callback del sistema compromesso a un server di botnet.
Come un parassita, si abbevera alla linfa vitale di chi permette all’ospite inatteso di insediarsi a casa propria.
Le PMI sono le sue più semplici vittime. Facili da raccogliere. Come le spighe di grano, cadono durante la mietitura.
I piccoli imprenditori non credono che la sicurezza informatica serva: “Mi non son grande… a mi non mi importa. Star a spender sghei per ste monate”.
Quale frase più funesta da pronunciarsi nell’era dell’Information Communications Technology.
7. L’Advanced Persistent Threat – LA PERSISTENZA
Si continua a persistere con una varietà di attacchi volti sapientemente ad indebolire la vittima, senza che questa possa accorgersi di quello che gli viene sottratto e, che l’attacco è posto in atto da molto tempo, volto a procacciare i migliori affari per il proprio “signore e padrone” che tiene in scacco l’hacker.

Il padrone lo paga e – “il cane” – ben al guinzaglio, non molla mai l’osso così facilmente.
Dobbiamo fargli capire noi che deve starci giù di dosso.

Egli ripete continuamente, i passaggi da 4 a 7 per cui è qui che le contromisure possono essere messe in atto, lavorando anche proreattivamente e aspettandolo al varco.
Non è necessario capire ogni strumento e tecnica che sviluppano gli aggressori. E’ importante invece fermare subito i multipli di attacco che sono stati portati a segno e impedire gli altri, con una buona ingegneria informatica e noi siamo i migliori a fare questo. PRO’s DO it.

Ritorna su: l’attacco ATP in ambiente ospedaliero.

Lascia un commento