Nätverksattacker

Som du har lärt dig finns det många typer av skadlig programvara som hackare kan använda. Men dessa är inte de enda sätten som de kan attackera ett nätverk eller till och med en organisation på. När skadlig programvara har levererats och installerats kan dem användas för att orsaka en mängd olika nätverksrelaterade attacker.

Typer av nätverksattacker

För att kunna motverka attacker är det användbart att förstå vilka typer av attacker som finns. Genom att kategorisera nätverksattacker är det möjligt att hantera typer av attacker snarare än enskilda attacker. Nätverk är utsatta för följande typer av attacker:

  • Rekognoseringsattacker
  • Åtkomstattacker
  • DoS-attacker (Denial of Service)

Rekognoseringsattacker

Rekognosering är insamling av information. Det kan liknas vid en tjuv som undersöker ett grannskap genom att gå från dörr till dörr och låtsas sälja något. Vad tjuven faktiskt gör är att leta efter sårbara hem att bryta sig in i, såsom obebodda bostäder, bostäder med lättöppnade dörrar eller fönster, och de bostäder utan säkerhetssystem eller övervakningskameror.

Hotaktörer använder rekognoseringsattacker (eller rekognosering) för att göra obehörig upptäckt och kartläggning av system, tjänster eller sårbarheter i nätverket. Rekognoseringsattacker föregår åtkomstattacker eller DoS-attacker.

Här nedan beskrivs några av de tekniker som skadliga hotaktörer använder för att genomföra rekognoseringsattacker:

  • Genomföra en informationsförfrågan på ett mål – Hotaktören söker initial information om ett mål. Olika verktyg kan användas, inklusive Google-sökning, organisationens webbplats, whois med mera.
  • Initiera en ping-sekvens (ping sweep) av målnätverket – Informationsförfrågan avslöjar vanligtvis målets nätverksadress. Hotaktören kan nu initiera en ping-sekvens för att avgöra vilka IP-adresser som är aktiva.
  • Initiera en portskanning av aktiva IP-adresser – Detta används för att avgöra vilka portar eller tjänster som är tillgängliga. Exempel på portskannrar inkluderar Nmap, SuperScan, Angry IP Scanner och NetScanTools.
  • Köra sårbarhetsskannrar – Detta görs för att fråga de identifierade portarna för att bestämma typen och versionen av applikationen och operativsystemet som körs på server. Exempel på verktyg inkluderar Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT och Open VAS.
  • Köra exploateringsverktyg – Hotaktören försöker nu upptäcka sårbara tjänster som kan utnyttjas. Det finns en mängd verktyg för exploatering av sårbarheter inklusive Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit och Netsparker.

Åtkomstattacker

Åtkomstattacker utnyttjar kända sårbarheter i autentiseringstjänster, FTP-tjänster och webbtjänster. Syftet med dessa typer av attacker är att få tillgång till webbkonton, konfidentiella databaser och annan känslig information.

Hotaktörer använder åtkomstattacker på nätverksenheterna och datorerna för att hämta data, få tillgång eller för att eskalera åtkomstprivilegier till administratörsstatus.

  • Lösenordsattacker – I en lösenordsattack försöker hotaktören upptäcka kritiska systemlösenord med hjälp av olika metoder. Lösenordsattacker är mycket vanliga och kan genomföras med hjälp av en rad lösenordsknäckningsverktyg.
  • Spoofing-attacker – I spoofing-attacker försöker hotaktörens enhet att utge sig för att vara en annan enhet genom att förfalska data. Vanliga spoofing-attacker inkluderar IP-spoofing, MAC-spoofing och DHCP-spoofing.

Andra åtkomstattacker inkluderar:

  • Utnyttjande av förtroende
  • Portomdirigeringar
  • Man-in-the-middle-attacker
  • Buffer overflow-attacker

Social ingenjörskonst attacker

Social ingenjörskonst är en åtkomstattack som försöker manipulera individer att utföra handlingar eller avslöja konfidentiell information. Vissa tekniker för social ingenjörskonst utförs personligen medan andra kan använda telefonen eller internet.

Sociala ingenjörer förlitar sig ofta på människors vilja att vara hjälpsamma. De utnyttjar också människors svagheter. Till exempel kan en hotaktör ringa en auktoriserad anställd med ett brådskande problem som kräver omedelbar nätverksåtkomst. Hotaktören kan spela på den anställdes fåfänga, åberopa auktoritet genom att namndroppa, eller appellera till den anställdes girighet.

Information om tekniker för social ingenjörskonst presenteras nedan:

  • Pretexting – En hotaktör låtsas behöva personlig eller finansiell data för att bekräfta mottagarens identitet.
  • Phishing – En hotaktör skickar bedräglig e-post som är förklädd till att komma från en legitim och betrodd källa för att lura mottagaren att installera skadeprogram på sin enhet eller dela med sig av personlig eller finansiell information.
  • Spear phishing – En hotaktör skapar en riktad phishingattack anpassad för en specifik individ eller organisation.
  • Spam – Även känt som skräppost, är detta oönskad e-post som ofta innehåller skadliga länkar, skadeprogram eller vilseledande innehåll.
  • Something for something – Ibland kallat ”Quid pro quo”, är detta när en hotaktör begär personlig information från en part i utbyte mot något, såsom en gåva.
  • Baiting – En hotaktör lämnar ett malware-infekterat USB-minne på en offentlig plats. Ett offer hittar minnet och sätter oavsiktligt in det i sin laptop, och installerar därmed oavsiktligt skadeprogram.
  • Personifiering – Denna typ av attack är där en hotaktör låtsas vara någon de inte är för att vinna offrets förtroende.
  • Tailgating – Detta är när en hotaktör snabbt följer efter en auktoriserad person in i ett säkert område för att få tillgång till en säker zon.
  • Shoulder surfing – Detta är när en hotaktör diskret tittar över någons axel för att stjäla deras lösenord eller annan information.
  • Dumpster diving – Detta är när en hotaktör rotar igenom soptunnor för att upptäcka konfidentiella dokument.

Att skydda sig mot social ingenjörskonst attacker

Social Engineering Toolkit (SET) utvecklades för att hjälpa vita hattar och andra professionella inom  nätverkssäkerhet att skapa attacker med social ingenjörskonst för att testa sina egna nätverk.

Företag måste utbilda sina användare om riskerna med social ingenjörskonst och utveckla strategier för att validera identiteter över telefon, via e-post eller personligen. Här nedan rekommenderade metoder:

  • Ge aldrig ut dina användarnamn/lösenordsuppgifter till någon.
  • Lämna aldrig dina användarnamn/lösenordsuppgifter där de enkelt kan hittas.
  • Öppna aldrig e-post från opålitliga källor.
  • Sprid aldrig arbetsrelaterad information på sociala mediesajter.
  • Återanvänd aldrig arbetsrelaterade lösenord.
  • Lås alltid eller logga ut från din dator när den är utan uppsikt.
  • Rapportera alltid misstänkta individer.
  • Förstör alltid konfidentiell information enligt organisationens policy.

DoS- och DDoS-Attacker

En attack som förnekar tjänst (Denial Of Service, DoS) skapar någon form av avbrott i nätverkstjänster för användare, enheter eller applikationer. Det finns två huvudtyper av DoS-attacker:

  • Överväldigande mängd trafik – Hotaktören skickar en enorm mängd data i en takt som nätverket, server eller applikationen inte kan hantera. Detta gör att överförings- och svarstider saktar ner. Det kan även orsaka att en enhet eller tjänst kraschar.
  • Skadligt formaterat Paket – Hotaktören skickar ett paket till en server eller applikation som mottagaren inte kan hantera det. Detta får mottagarutrustningen att fungera mycket långsamt eller krascha.

DDoS-Attack

En distribuerad DoS-attack (DDoS) liknar en DoS-attack, men den har sitt ursprung från flera, samordnade ”källor” (infekterade datorer). Till exempel bygger en hotaktör upp ett nätverk av infekterade datorer, kända som zombies. Hotaktören använder ett kommando- och kontrollsystem (CnC) för att skicka styrmeddelanden till zombierna. Zombierna skannar ständigt och infekterar fler nätverksenheter med bot-malware. Bot-malware är utformat för att infektera en dator, vilket gör den till en zombie som kan kommunicera med CnC-systemet. Samlingen av zombies kallas för ett botnet. När det är dags instruerar hotaktören CnC-systemet att få botnätet av zombies att utföra en DDoS-attack.