跳岛攻击:它们是什么以及如何保护自己

小安小安 in 安全 2022-12-27 9:49:59

近期历史上最著名的两次黑客攻击都是通过跳岛攻击进行的。那么它们是什么,你怎么能阻止它们呢?

Prevent-Remote-Access-Trojan-Attacks-Featured-Image
跳岛听起来更像是您在巴哈马执行的一项活动,而不是一种攻击策略,但它实际上经常被网络犯罪分子使用,他们希望在不直接侵入网络的情况下瞄准网络。那么,什么是跳岛攻击,您如何保护自己免受攻击?

什么是跳岛攻击?

“跳岛游”一词源于二战。美军想要到达日本大陆,不得不从一个岛屿移动到另一个岛屿,将每个岛屿用作下一个岛屿的发射台,并以大陆为主要目标。这在当时被称为越级。
smallshuttersparks
在跳岛攻击中,威胁行为者追踪您的合作伙伴和其他第三方伙伴,利用他们的网络漏洞跳到您更安全的网络上。这些威胁参与者是参与破坏或可能影响您组织网络安全的行动的实体或个人。他们可能会竭尽全力绕过目标的防火墙,而一种有效的方法就是跳岛。

制造、金融和零售企业是这种形式的网络攻击的主要目标。在这种情况下,目标的安全系统是密不透风的,并且在很大程度上不受直接入侵的影响,因此黑客会通过相当不安全的合作伙伴。

这些合作伙伴受到目标组织的信任并连接到其网络。黑客利用信任关系,通过与其他组织的薄弱环节,攻击真实目标复杂的防御机制。

跳岛攻击如何运作?

MFA-Fatigue-Attack-How-It-Works
跳岛攻击之所以有效,是因为它们不会在目标的安全系统中触发警报。当尝试从不受信任或未注册的设备进入主机网络时,通常会触发这些警报。合作伙伴的参赛作品很少被标记;威胁行为者利用了这一失误。

威胁行为者在其跳岛任务中采用三种标准方法。

1. 基于网络的攻击
此方法涉及渗透组织的网络并使用它跳到另一个关联网络。在这种攻击中,威胁行为者通常会攻击组织的托管安全服务提供商(MSSP)。

MSSP 是 IT 服务提供商,向小型企业和大型组织销售安全产品,保护他们免受网络安全威胁。他们使用软件或人员团队在这些威胁发生时立即做出响应。许多企业将其 IT 安全部门外包给这些 MSSP,使提供商成为黑客的目标。

2. 水坑攻击
这种形式的跳岛涉及渗透主要目标客户、业务合作伙伴和员工经常光顾的站点。不良行为者会评估网站的安全性,并在发现弱点时输入恶意链接。

这些链接会导致受感染的平台自动将恶意软件注入计算机。一旦注入的恶意软件开始运行,威胁行为者就可以使用整理的信息来访问主要目标。

3. 商业电子邮件妥协
Hacker-Phishing-Data
网络钓鱼诈骗通常是此方法的第一步。网络犯罪分子伪装成信誉良好的商业实体。雅虎、Facebook 和流行的商业银行主要用于这些攻击,因为黑客在垃圾邮件中发送恶意链接。

一旦上钩并点击了链接,黑客就会使用恶意软件来破坏用户的计算机。这种方法针对组织的高级官员或管理人员。

这里有时会使用键盘记录软件来窃取这些高管的电子邮件帐户。从电子邮件帐户中窃取敏感信息,然后用于渗透目标组织。

跳岛先例:Ta​​rget 和 SolarWinds

2013 年,美国最大的零售公司之一塔吉特 (Target) 卷入了一场跳岛噩梦。而在 2020 年,IT 管理提供商 SolarWinds 成为跳岛攻击的受害者。

Ta​​rget:The Nightmare of a Holiday Season

target
威胁行为者破坏了 Target 的销售点系统并窃取了大约 4000 万客户的财务信息。这导致 Target 支付了有史以来最大的数据泄露和解金。

在 2013 年假期期间黑客窃取了这家零售巨头客户的大部分信用卡和借记卡信息后,双方同意支付 1850 万美元来解决 47 个州和哥伦比亚特区的问题。此次数据泄露使 Target 损失超过 3 亿美元。但这并不是对公司服务器的直接攻击。

它始于 Fazio Mechanical Services,这是另一家为 Target 提供供暖和制冷的公司。在 Target 的安全漏洞发生前两个月,他们经历了一次恶意软件攻击。威胁行为者窃取了电子邮件凭据并使用它来访问 Target 的服务器。

Solarwinds

solarwinds
这次袭击影响了超过 18,000 家企业,甚至美国政府部门。每个受影响的人都有一个共同点——一家名为 SolarWinds 的 IT 管理提供商。

与跳岛攻击一样,SolarWinds 并不是主要目标。以美国政府受影响部门之多,有传言称黑客得到了俄罗斯政府的支持,希望动摇美国国会。

SolarWinds 于 2020 年 12 月首次确认了此次攻击,但几个月后未被发现。2021 年 3 月,黑客窃取了国土安全部的电子邮件凭据,尽管大多数政府部门已警告其员工关闭受影响的 SolarWinds 产品 Orion。这些攻击还影响了能源部、财政部和商务部、Mimecast 和微软。

如何保护自己免受跳岛攻击

随着跳岛行为的盛行,您应该采取措施防止您的网络和服务器受到恶意方的攻击。这里有几种方法可以做到这一点。

1.使用多重身份验证
多因素身份验证涉及使用各种验证检查,如指纹和 ID 确认,以确认任何试图访问您的网络的人的身份。这种额外的安全层虽然乏味,但总是很有帮助。窃取登录凭据的黑客将发现几乎不可能通过指纹确认检查或面部 ID 验证。

2. 有一个备用的事件响应计划
跳岛攻击有多种形式,有时常规的安全协议可能不足以预防任何事件的发生。随着跳岛攻击变得越来越复杂,您的安全软件必须不断更新。此外,最好有一个事件响应团队随时待命,以处理可能超出安全范围的不可预见的威胁并处理最新的威胁。

3.采用最新的网络安全标准
许多组织认识到跳岛的风险,并为任何潜在的合作伙伴和同事制定了网络安全标准。建议现有合作伙伴升级他们的安全系统;那些没有高级检查的人应该限制访问您的网络。

不要成为受害者:限制访问或升级您的安全性

跳岛攻击变得更加普遍。安全协议松懈的组织有成为威胁行为者的受害者的风险,除非他们升级他们的系统。

然而,还需要更多。没有高级安全系统的第三方合作伙伴会带来风险,不应无限制地访问。如果无法限制访问,则此类合作伙伴应升级其系统。

-- End --