Nätverksattacker

Som du har lärt dig finns det många typer av skadlig programvara som hotaktörer kan använda. Det är dock inte det enda sättet att angripa ett nätverk eller en organisation. När skadlig programvara väl har levererats och installerats kan den användas för att genomföra en rad olika nätverksrelaterade attacker.

Typer av nätverksattacker

För att kunna motverka attacker är det viktigt att förstå vilka kategorier som finns. Genom att dela in attacker i olika typer blir det lättare att analysera och hantera dem.

Nätverk är särskilt utsatta för följande kategorier:

  • Rekognoseringsattacker
  • Åtkomstattacker
  • DoS-attacker (Denial of Service)

Rekognoseringsattacker

Rekognosering innebär att samla in information. Det kan liknas vid en tjuv som kartlägger ett område genom att gå från dörr till dörr och låtsas sälja något. I själva verket letar tjuven efter sårbara mål, exempelvis bostäder utan säkerhetssystem eller med dåligt skydd.

På samma sätt använder hotaktörer rekognoseringsattacker för att kartlägga system, tjänster och sårbarheter i ett nätverk. Dessa attacker sker ofta som ett första steg och följs vanligtvis av åtkomstattacker eller DoS-attacker.

Vanliga tekniker vid rekognosering

  • Informationsinsamling – Hotaktören samlar in grundläggande information om målet, exempelvis via sökmotorer, organisationens webbplats eller whois-uppslagningar.
  • Ping sweep – Används för att identifiera vilka IP-adresser i ett nätverk som är aktiva.
  • Portskanning – Identifierar öppna portar och tillgängliga tjänster. Vanliga verktyg är Nmap, SuperScan och Angry IP Scanner.
  • Sårbarhetsskanning – Analyserar system för att identifiera svagheter, inklusive operativsystem och applikationsversioner. Exempel på verktyg är Nessus och OpenVAS.
  • Exploateringsverktyg – Används för att identifiera och utnyttja sårbara tjänster, exempelvis Metasploit och Sqlmap.

Åtkomstattacker

Åtkomstattacker syftar till att få obehörig tillgång till system eller data. De utnyttjar ofta sårbarheter i autentiseringstjänster, FTP-tjänster och webbtjänster.

När en hotaktör lyckas med en åtkomstattack kan denne:

  • hämta känslig information
  • få tillgång till system
  • eskalera sina behörigheter till administratörsnivå

Exempel på åtkomstattacker

  • Lösenordsattacker – Försök att knäcka lösenord med olika metoder och verktyg, exempelvis brute force.
  • Spoofing-attacker – Hotaktören utger sig för att vara en annan enhet, t.ex. via IP-, MAC- eller DHCP-spoofing.

Andra åtkomstattacker inkluderar:

  • Utnyttjande av förtroende
  • Portomdirigeringar
  • Man-in-the-middle-attacker
  • Buffer overflow-attacker

Social ingenjörskonst attacker

Social ingenjörskonst är en form av åtkomstattack där hotaktörer manipulerar individer att utföra handlingar eller avslöja konfidentiell information. Till skillnad från andra åtkomstattacker riktar den sig främst mot människor, snarare än tekniska sårbarheter. Vissa tekniker genomförs personligen, medan andra sker via telefon eller internet.

Sociala ingenjörer utnyttjar ofta människors vilja att vara hjälpsamma, men också deras svagheter. Till exempel kan en hotaktör kontakta en auktoriserad användare med ett påstått brådskande problem som kräver omedelbar åtkomst till nätverket. Angriparen kan då spela på faktorer som förtroende, åberopa auktoritet genom att namnge interna personer eller skapa en känsla av stress för att få användaren att agera utan att tänka efter.

DoS- och DDoS-Attacker

En DoD-attack (Denial of Service) syftar till att skapa avbrott i nätverkstjänster för användare, enheter eller applikationer. Det finns två huvudtyper av DoS-attacker:

  • Överbelastningsattacker – En stor mängd trafik skickas i en takt som nätverket, servern eller applikationen inte kan hantera. Detta leder till fördröjningar eller att system kraschar.
  • Felaktigt formaterat Paket – Paket skickas som mottagaren inte kan hantera, vilket kan göra systemet instabilt eller orsaka krascher.

DDoS-Attack

En DDoS-attack (Distributed Denial of Service) liknar en DoS-attack men genomförs från flera samordnade källor samtidigt.

Hotaktören bygger upp ett nätverk av infekterade datorer, så kallade zombier. Dessa styrs via ett kommando- och kontrollsystem (CnC). Zombierna sprider i sin tur skadlig kod vidare och utökar nätverket.

Samlingen av dessa enheter kallas ett botnät (botnet). När attacken initieras används hela botnätet för att överbelasta målet, vilket gör attacken både kraftfull och svår att stoppa.