黑客越来越多地破坏日志以隐藏攻击

时间 : 2018-11-05 编辑 : DNS.COM 分享 : 

根据上周发布的一份最新报告,黑客团体越来越多地将日志文件销毁和其他破坏性方法作为掩盖其踪迹的手段,其中包含来自全球37家Carbon Black事件响应(IR)联盟合作伙伴进行的113项调查的信息。


根据该报告“来自民族国家行为体的政治动机网络攻击导致了破坏性攻击的不祥增加:针对特定目标的攻击,导致系统中断并以旨在瘫痪组织运营的方式破坏数据。”

Carbon Black表示,黑客团体在公司所谓的“反事件响应”方面正在变得越来越好。


他们表示,在过去90天内,该公司及其合作伙伴调查的所有事件中有51%的黑客试图采取反事件应对措施。


“我们已经看到大量日志数据的破坏,非常细致的防病毒日志清理,安全日志以及拒绝IR团队访问他们需要调查的数据。”一位IR专业人士说。


事实上,根据Carbon Black的报告,72%的合作伙伴IR专业人员以破坏日志的形式看到了反红外线操作,这似乎已成为大多数黑客武器库中的标准策略。


但在某些情况下,黑客将日志破坏和其他反事件响应操作提升到一个新的水平,在某些情况下,他们的行为会造成更持久的破坏。


“我们的受访者表示,受害者在32%的时间内遭受此类袭击。”Carbon Black在其报告中称。


“我们最近看到了来自伊朗和朝鲜的许多破坏性行动,他们有效地擦除了他们怀疑进行法医分析的机器。”一名IR专业人士说。


另一位IR专业人士表示:“攻击者希望掩盖他们的踪迹,因为他们感受到了执法部门的压力。”


但Carbon Black也指出,作为一个整体,网络安全行业在事件响应方面也变得更好,因此攻击者更加注重删除日志甚至擦除系统,只是为了安全起见。


同样的Carbon Black报告还触及了许多其他有趣的话题,例如在受损网络中使用合法工具进行横向移动,““island hoping”的概念,以及越来越多地关注物联网设备作为家庭和公司的切入点。


 总结的主要发现如下:

中国和俄罗斯对近一半的网络攻击事件负责。在第三季度,Carbon Black IR合作伙伴进行的113项调查中,有47项仅来自这两个国家,而伊朗,朝鲜和巴西也是最近发生的大量袭击事件的起源。

今天的一半攻击利用“island hoping”,攻击者将组织打算进入联盟的网络。

令人震惊的是,38%的IR专业人员看到了对企业物联网设备的攻击,这些设备可以成为组织主要网络的入口点,允许“island hoping”。

大约54%的IR公司表示他们看到了对物联网消费设备的攻击。

大约30%的受访者也看到受害者的网站变成了一个水坑。

令人震惊的是,41%的受访者遇到了绕过基于网络的保护的情况。

Powershell是攻击者在网络内部横向移动的主要工具,在89%的事件中发现,其次是WMI(Windows Management Instrumentation)。

大约27%的受访者选择缺乏熟练的安全专家是事件响应的最大障碍。

网络攻击最常见的行业是金融部门,其次是医疗保健,零售和制造业。

三分之二的IR专业人士认为,网络攻击将影响即将举行的美国大选。


来源:https://www.zdnet.com/article/hackers-are-increasingly-destroying-logs-to-hide-attacks/