Celem zautomatyzowanych technik masowej eksploatacji jest dosłowne skompromitowanie jak największej liczby systemów przy jak najmniejszym wysiłku w imieniu cyberprzestępcy.
Technika różnicująca
Istnieje kilka czynników odróżniających ataki między technikami wykorzystywanymi przez konwencjonalne narzędzia ataku, takie jak exploity oprogramowania, a tymi wdrażanymi przez zautomatyzowane narzędzia do masowej eksploatacji.
* Poziomy hałasu związanego z atakiem Ze względu na techniki zaimplementowane przez zautomatyzowane agenty ataku, takie jak masowe rootowniki, generowana jest znaczna ilość hałasu związanego z atakiem. Pierwszą tego przyczyną jest to, że narzędzie ataku wykorzystujące technikę masowej eksploatacji zaatakuje wiele hostów, często sekwencyjnie, w bardzo krótkim czasie – cecha ataku, którą łatwo wykryć urządzenie wykrywające włamania. Drugą jest to, że zautomatyzowani agenci eksploatacji będzie często próbował zaatakować cel niezależnie od jego podatności na problem, który narzędzie atakujące zostało napisane, aby wykorzystać. Żadna z tych cech ataku nie jest koniecznie endemiczna dla niezautomatyzowanego agenta ataku, a widziane razem prawie zawsze wskazują na narzędzie typu masowego rootera, wykorzystujące techniki wykorzystywania masowych celów.
* Zmniejszona liczba faz ataku Zwykle narzędzie ataku wykorzystuje
Techniki wykorzystujące masowe cele zawiodą w wykonaniu początkowych faz rozpoznania ataku, które normalnie będą wykonywane przez przeciwnika podczas namierzania hosta przy użyciu niezautomatyzowanych technik ataku. Dzieje się tak, ponieważ często nie ma potrzeby stosowania narzędzia ataku wykorzystującego technikę masowej eksploatacji, aby zaangażować się w jakąkolwiek formę rozpoznania celu, ponieważ takie działanie dodałoby hałas do już bardzo hałaśliwego ataku i wydłużyło czas wymagany przez narzędzie do ataku na każdego hosta.
Zautomatyzowane podejście agenta do potrąceń inhibitorów ataku
Postulujemy, że biorąc pod uwagę omówione cechy ataku związane z użyciem narzędzi masowego ataku rooterami, jesteśmy w stanie dokonać dedukcji odnośnie wartości kilku elementów znajdujących się w obiekcie inhibitora.
Postrzegane prawdopodobieństwo wykrycia przy próbie
Stosunek przeciwnika do prawdopodobieństwa wykrycia danej próby można określić poprzez liberalne użycie narzędzi typu masowego rootera ze względu na ilość hałasu ataku typowego dla tych narzędzi. Niestety można wyciągnąć dwa możliwe odliczenia:
* Przeciwnik nie zdaje sobie sprawy ze zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera. Ta dedukcja wskazuje również na przeciwnika, któremu brakuje technicznego zrozumienia zarówno tego, co robi narzędzie ataku, jak i artefaktów bezpieczeństwa sieci, takich jak IDS.
* Chociaż przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem masowego rootera, zaniedbuje wspomniane zwiększone prawdopodobieństwo. Taka postawa jest typowa dla przeciwnika, który uważa, że chociaż może nastąpić wykrycie ataku, przypisanie ataku jest mało prawdopodobne.
Postrzegane prawdopodobieństwo przypisania udziału w przypadku wykrycia
Stosunek przeciwnika do prawdopodobieństwa wykrycia atrybucji jest determinowany przez wcześniejsze obserwacje dotyczące stosunku przeciwnika do prawdopodobieństwa wykrycia danej próby, stąd obserwacje te idą w parze z wcześniej odnotowanymi obserwacjami dotyczącymi stosunku przeciwnika do postrzeganego prawdopodobieństwo wykrycia:
* W przypadkach, gdy przeciwnik nie jest świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera, postrzegane prawdopodobieństwo przypisania danej detekcji prawdopodobnie nie ulegnie zmianie. Warto zauważyć, że w takich przypadkach rzeczywiste prawdopodobieństwo atrybucji po wykryciu prawdopodobnie wzrośnie, biorąc pod uwagę, że przeciwnik nie podejmie żadnych dodatkowych środków, aby zapobiec przypisaniu.
* W przypadkach, gdy przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia, a tym samym zwiększonego prawdopodobieństwa atrybucji, atakujący prawie na pewno podejmie dodatkowe środki, aby zapobiec przypisaniu w przypadku wykrycia. Jak czytamy w rozdziale 2, podjęcie takich działań w celu zrównoważenia czynników hamujących atak, takich jak prawdopodobieństwo przypisania, prawie zawsze oznacza zużycie dodatkowych zasobów. Rzeczywisty przykład zasobu, który można wykorzystać do zmniejszenia prawdopodobieństwa atrybucji, może być wtórnym, skompromitowanym systemem do przeprowadzania ataków typu mass rooter, a tym samym dalszej ochrony tożsamości osoby atakującej i zmniejszania prawdopodobieństwa atrybucji.