スペースシャトルの打ち上げをハッキングした方法—そして捕まった方法

こんにちは、ハッカー・ネメシスの最初のブログシリーズへようこそ!

私は ポール・ダント、そして私はCTOのオフィスでイルミオのサイバーセキュリティ研究グループを率いています。私たちは、ディフェンダーやアタッカーとして数十年のサイバー経験を持つ、生涯にわたるハッカーとキャリアセキュリティ実務家で構成されたチームです。

なぜブログシリーズに「ハッカー・ネメシス」という名前が付いているのですか？両者の点をつなぐ イルミオの機能 そしてお客様 サイバーセキュリティ ニーズは私たちの第一の使命であり、特にそれに関連する場合には サイバーレジリエンス。言い換えると、ハッカーがあなたをハッキングして金銭を強要するのを難しくしているのです。彼らはそれを絶対に嫌っています。ネメシス！

次のいくつかの記事では、サイバー攻撃でまだ負けている理由を説明する普遍的な真実を調べています。すべてが変わったのに、何も変わっていないのです！私は何十年もかけて、ゲームから大げさな映画制作、原子力施設まで、あらゆるものをハッキングしてきました。これらはすべて成功しています。ここでは、それらの攻撃についてお話しします。

すぐにわかるパターンは次のとおりです。

• ハッカーは魔法ではありません。
• これらの攻撃は見た目よりずっと簡単です。
• 攻撃者は国外に住んでいます。いったんネットワークに入ると、オペレーティングシステムは1日を台無しにするのに必要なものをほぼすべて提供します。

ランサムウェア攻撃の手引きは数十年前のものです。

サイバー・レジリエンスに関するメモ

サイバーレジリエンスは、攻撃から生き残るだけではありません。

広く普及しているゼロトラスト神学に目を向けると、攻撃者は（まだではないにしても）ある時点でネットワークに侵入することを受け入れる必要があることがわかります。「侵害を想定する」というのが具体的な表現であり、私はその原則を強く支持します。

攻撃によって重要なサーバーの 80% がロックされ、運用が停止したのに、48時間後にバックアップから復旧したとしたら?生き延びたとしても、それでは回復力にはなりません。48 時間のダウンタイムにどれくらいのコストがかかったのでしょうか?

回復力があれば、ダウンタイムは発生しません。避けられないネットワークへの侵入が発生すると、攻撃者は侵害された単一のシステムに限定されてしまい、攻撃者はより有利なリスク/リターンの結果をもたらす、より簡単なターゲットへと移動してしまいます。言い換えると、 侵害封じ込め。最初に侵害されたシステム、つまり「最初の侵害」が、最後に侵害されたシステムであることを確認します。言うは易く行うは難しですよね？

この記事の TLDR; があるとすれば、それはこれです。成功を防ぐための秘訣 ランサムウェア攻撃 不正な横方向の動きの可視化と制御です。どこでも。

すべての侵入の試みを阻止することはできませんが、「お金を払うべきか？」というリスクを大幅に減らすことができます。攻撃者がネットワークにさらに侵入する能力を遮断することで判断できます。

はい、そもそもそれらをネットワークから遠ざけるようにしましょう。それは当然のことであり、まさに「多層防御」の目的です。境界防御、エンドポイント防御、ネットワーク防御。これらはすべて、多層防御において適切な役割を果たします。これらの防御の一部またはすべてが失敗した場合の補償制御を含める必要があります。

私はゼロクールっぽかった

この記事はシリーズの最初の投稿なので、1991年の私の最初のエクスプロイトまでさかのぼって、私が子供のハッカーとして使っていたのと同じ古いトリックを攻撃者がいまだに使用していることを確認してみませんか？

ハッカーの伝承を振り返ると ゼロクール なんとか1,507台のシステムを停止しました。最初の攻撃で約47しか倒せませんでしたが、ゼロクールについて聞く前にこれをやったことを考えると、それでもかなりの成果です。

私の最初の攻撃は、ブラックハット時代で最も破壊的な攻撃でもあり、シミュレートされたスペースシャトルのミッションを標的にしたもので、完全な混乱が私の主な（そして唯一の）目的でした。

ネタバレ注意:勝った.しかし、私も逮捕され、いわゆるスクリプトキディと1337 hax0rsと呼ばれる素晴らしい存在を区別するハッキングの重要な側面が浮き彫りになりました。捕まったら、ハッカーであることを自慢することはできません。逆に、ハッカーであることを自慢すれば、実は捕まってしまうことも教えてくれました。

この攻撃を詳しく調べる前に、適切なコンテキストを設定しましょう。問題のシミュレートされたスペースシャトルのミッションは、私の7年生のクラスが参加した科学プロジェクトで、実際のシャトルの建設、ほぼ丸2日間かけてシャトルに配属される特別に選ばれた学生乗組員、そしてその場しのぎのミッションコントロールセンター（通常は科学教室）のボランティアの地上乗組員が参加していました。

そして、これらすべてを支えているのは何ですか？コンピューター！具体的には、トークンリングネットワーク上の IPX/SPX 経由で Novell NetWare クライアントを実行している数十台の IBM PS/2 です。これは素晴らしく革新的なイベントで、私も参加したいと思い、クルーのコンピューターオフィサーとして応募しました。どういうわけか、私は選ばれませんでした！

明らかに、選考委員会の決定は容認できず、彼らは支払いをしなければならないでしょう。私の復讐心は二つあります。第一に、他のみんなのシャトルミッションを台無しにすることは、恨みを抱く12歳のハッカーにとって本当に満足のいくものになるでしょう。しかし、それと同じくらい重要なのは、二度とポール・ダントを見落とさないことを学ぶことです。彼らはなんてばかげた間違いをしたのでしょう。

この攻撃を分析する前に、攻撃者の行動の「方法」と「理由」を理解するための重要なツールを見てみましょう。

マイターATT&CK フレームワーク

攻撃が通常どのように進行するかを示す上で重要なのは、ATT&CK フレームワークです。ATT&CK フレームワークは、以下によって開発および保守されています。 マイター。よく知らない場合は、確認することを強くお勧めします。攻撃方法論の計画によく使われていることがわかるからです。

下の図は、Contiランサムウェア攻撃の典型的なフェーズをわかりやすく表しています。Contiランサムウェアグループはもはや存在しませんが、その方法論はContiの分派グループに受け継がれています。実際、ほとんどのランサムウェア攻撃は、その背後にいるグループに関係なく、この一般的なマップに従っていることに気付くでしょう。

読み方は次のとおりです。

• 一番上の行 (左から右へ) は 戦術。それぞれの戦術は、最終目標に向けた攻撃の進行と考えてください。つまり、コントロールの失敗 (または欠如) によって攻撃は進みました。
• 各戦術列には、 テクニック 攻撃を次のフェーズ、つまり戦術に進めるために使用されます。手法は使用される特定の攻撃メカニズムを表したものであり、それらを理解することで、リスクを策定し、適切な統制を決定するのに役立ちます。これらの統制にかかる費用も含めて、適切な統制を決定するのに役立ちます。

シャトルのミッションをやっつけろ

この攻撃のために私が作成した計画は、MITRE ATT&CKマップほど鮮明には見えませんでしたが、確かに持っていて、このようなものでした。

しかし、ここにひねりがあります。スペースシャトル攻撃の戦術とテクニックをATT&CKフレームワークにマッピングすると、おそらく次のようになります。

はい、それは正しい画像です。先ほど見たものです。なぜ？なぜなら、これらのランサムウェア攻撃プレイブックは何十年も前にさかのぼるからです！

「アウーハッキング」という言葉を聞く前から、私はこれらの戦術とテクニックに深く関わっていました。なぜなら、それは直感的であり、それがATT&CKフレームワークを非常に価値のあるものにしているからです。

行動を促すフレーズ！

次回の記事では、私が使用したそれぞれの戦術とテクニックを掘り下げていきますが、本当に重要なところ、つまり私たちの見る能力と、実際に重要なところでどれほど小さなことが変わったかがわかります。 ランサムウェアと侵害の拡散を制御 ネットワーク全体で！

それまでの間、侵入者が気付かれずにネットワーク内を移動できることについて、どの程度満足していますか？多くの場合、侵入の最初の兆候は、ランサムウェアによって使用できなくなった後にシステムに新しいデスクトップの壁紙が表示されることです。

その瞬間に至るまでに多くのことが起こりました。すべて検出されず、すべて完全に防ぐことができます イルミオゼロトラストセグメンテーション。

イルミオは、ニュースで次のサイバー災害の被害者にならないように支援します。 連絡を取る そしてその方法を学びましょう！