探秘丨平昌冬奥会是如何被黑客攻下的?

刚刚阅读1回复0
kanwenda
kanwenda
  • 管理员
  • 注册排名1
  • 经验值150515
  • 级别管理员
  • 主题30103
  • 回复0
楼主

悟以往之不谏,知来者之可逃。

——《归去来兮辞》 平昌冬奥会惨遭黑客攻击

2018年平昌冬奥会末于落下帷幕,回忆那一届奥运会,风波不竭。做为平安从业人员,印象深入的除了中国队选手屡遭裁判“毒手”被判犯规出局,即是平昌冬奥会开幕式当天,奥组委办事器遭遇黑客攻击,引发一片紊乱。

当全球目光聚焦平昌冬奥会时,奥组委却不能不临时封闭办事器和平昌冬奥会网站,官网宕机12小时、角逐场馆附近收集瘫痪、门票无法打印招致不雅寡无法一般入场,媒体中心系统毛病招致无法一般旁观曲播……引发各类推测。几天后的新闻发布会上,平昌冬奥筹委会发言人宋百裕(Sung Baik-you)对外证明,平昌冬奥官网宕机是收集攻击所致。而据国际出名平安公司McAfee陈述,称针对韩国平昌奥运会,黑客组织开展了鱼叉式收集垂钓攻击。

奥运会有毒:严重赛事频遭攻击

严重体育赛事,不断是黑客热衷的攻击目的。做为世界三大致育赛事之一,奥运会全球注目,影响力庞大,更是黑客方案“大展身手”的时刻。历届奥运会举办期间,收集攻击频繁发作,其数量和频次比拟平常显著增加。

2000年悉尼奥运会期间,其官方网站禁受了113亿次攻击。2006年意大利都灵冬奥会期间,其IT办事商每天记录了310万起可疑事务。2008年北京奥运会期间,其IT合做伙伴,每天收到约1200万次平安警告。2016年里约奥运会期间,黑客DDoS攻击峰值达540Gbps。据收集平安公司Fortinet陈述显示,2016年4月到6月,收集垂钓欺诈活动增长了76%。

下一届冬奥会即将在北京举办,以史为鉴、复盘深思、吸收教训,对顺利保障下一次奥运会信息收集平安至关重要。

平昌冬奥会「鱼叉式垂钓邮件」攻击复原

此次平昌冬奥会遭受黑客攻击,回溯起来,不能不从一封垂钓邮件说起。据国际出名平安公司McAfee陈述显示,针对平昌冬奥会的黑客攻击,早在去年12月22日就提早拉开了帷幕。参与赛事的相关组织机构收到了精心假装、植入歹意软件的鱼叉式垂钓邮件攻击。

攻击目的: @http://pyeongchang2018.com账号的相关用户,那些组织为平昌奥运会供给各类办事和撑持。身份假装:假拆来自韩国国度反恐中心(NCTC)info@nctc.go.kr,现实上邮件从Postfix邮件办事器发送,来自位于新加坡的攻击者。内容假装:韩文编写,附件为含歹意宏的Word文档,原文件名”농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc(由农林业部和平昌冬奥会组织)。其时NCTC正在为奥运会停止反恐演习,邮件中特意提到了反恐演习,以骗取收件人信赖,增加翻开附件的概率。攻击手段:攻击者起首将歹意软件做为超文本应用法式(HTA)文件嵌入到歹意文档中。当用户翻开歹意文档时,韩文提醒用户启用宏,以允许在用户的Word版本中翻开该文档。当用户点击“启用宏”,歹意文档启动PowerShell脚本,施行歹意软件 鱼叉式垂钓邮件攻击的特点

本次攻击事务十分典型,从中能看出鱼叉式垂钓邮件攻击的特点及防护难点:

1,目标明白,针对性强

攻击目的极为明白,针对性十分强,次要针对利用@http://pyeongchang2018.com账号,即为平昌奥运会供给各类办事和撑持的组织。

2,精心假装,防不堪防

攻击者对攻击目的洞若观火,邮件假装用的韩国国度反恐中心身份、题目、内容、附件、发送时机等都颠末精心设想。

3,多种手艺,深层假装,难以检测

需要受害者积极交互,点击“启用宏”,启动PowerShell脚本,施行歹意软件。同时,脚本组合多种字符串混淆手艺,深层假装,逃避检测手艺。

4,攻防两边应用新手艺的速度差距大

此次攻击用到的nvoke-PSImage东西,12月20日刚向公家发布,12月28日攻击者就用于针对平昌冬奥会的攻击活动,速度远远超越防御者。

应对战略

近年来,APT攻击因其复杂性、隐蔽性、持久暗藏、高危害等特点备受存眷。《鱼叉式垂钓电子邮件:更受欢迎的APT攻击诱饵》陈述调研后发现,91%的有针对性攻击涉及鱼叉式垂钓,而94%的电子邮件中包罗歹意文件附件。因而,防护以鱼叉式垂钓邮件为代表的高级威胁至关重要,其次要关键点在于:

1,摆设威胁检测才能强大的邮件平安产物,及时捕捉威胁邮件。

传统邮件平安类产物在反垃圾、防病毒等方面效果较好,但对歹意附件和歹意链接等形式倡议的垂钓邮件、APT等攻击检测效果欠佳。本次攻击事务中呈现的歹意附件,攻击者接纳多种手艺深度假装、逃避查杀,传统邮件平安产物容易漏报。

保举利用睿眼·邮件攻击溯源系统,全面笼盖歹意文本、歹意附件、歹意链接3大类,接纳微沙箱手艺、启发式阐发、语义阐发等检测手艺,检测颗粒度更细。无论是已知威胁,仍是未知的邮件垂钓、0-day攻击、APT攻击,威胁邮件检出率高,在WannaCry事务中已有胜利的理论。

2, 全方位摆设威胁检测才能强大的平安产物,天罗地网,捕捉躲藏的黑客。

跟着平安鸿沟的消逝,黑客有无数种体例绕过现有的平安防线,将攻击行为隐藏,使之看起来像是一般的活动,持久暗藏在组织的收集中,通用的入侵检测手艺很难发现。

保举摆设睿眼·WEB攻击溯源系统,睿眼·收集攻击溯源系统,共同前面提到的睿眼·邮件攻击溯源系统,笼盖黑客攻击的三大次要入口,海陆空织就“天罗地网”。睿眼系列产物立异威胁发现模子,即便没有歹意代码,通过黑客的手艺、理念等,也能发现深度隐藏的攻击行为,在攻击者完成攻击形成危害前,洞察威胁、阻断攻击。

3,针对严重活动,成立专门的收集平安保障团队。

严重活动期间,也是黑客等待“一战成名”的狂欢节,收集攻击的数量和频次都快速、大幅提拔,用户平安保障压力山大。

保举选择睿智·严重活动保障办事。

严重活动前,资深的平安专家运用专业的睿眼设备,提早排查平安风险,供给专业的修复建议。活动期间,资深平安专家7*24小时驻场,实时发现和处置攻击事务,防备严重变乱发作。结语

平安专家预测,将来奥运会等体育赛事将涌现更多针对性的黑客攻击事务,而邮件攻击因其发送成本低、攻击效果好等优势,无疑会更受攻击者喜爱。但无论黑客多么跋扈狂,我们布下天罗地网,严阵以待,心中无惧。

参考链接:

https://securingtomorrow.mcafee.com/mcafee-labs/malicious-document-targets-pyeongchang-olympics/http://www.4hou.com/technology/9803.html

本文转载自:

如若转载,请说明出处:https://mp.weixin.电话.com/s?__biz=MzAwNjc0MDA1NA==&mid=2650128322&idx=1&sn=a022ce5c4ca8e0eafd7fb4753a139e07

平安客 - 有思惟的平安新媒体

0
回帖 返回游戏

探秘丨平昌冬奥会是如何被黑客攻下的? 期待您的回复!

取消
载入表情清单……
载入颜色清单……
插入网络图片

取消确定

图片上传中
编辑器信息
提示信息