购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

1.2 网络战场

本节将比较传统战场与网络战场,分析两者存在的重大差异,并进一步指出形成这些差异的主要原因。由于网络靶场的一项重要任务就是研究如何模拟“网络战场”,因此,需要深入理解、刻画“网络战场”的独特性与复杂性。

1.2.1 传统战场的无限延伸

随着互联网、物联网的发展,网络战场先是作为传统战场的延伸,之后又从数字世界延伸到了现实世界(见图1-12)。譬如,物联网小设备受制于软件漏洞,一旦联网会被黑客所利用,形成受控制的“僵尸”网络。对联网智能设备的攻击不仅局限于虚拟世界,也会直接危害到物理世界,甚至危及生命安全。工业物联网的安全漏洞一旦被恶意利用,有可能会导致关键基础设施无法正常运行,对社会生产造成严重影响。

·图1-12 物理空间与网络空间的融合

在这个全新的战场上,呈现出了以下与传统战争截然不同的特点。

(1)作战力量多元

由于信息技术的军民通用性和计算机网络的相互关联性,使得网络战力量与传统战争作战力量不同,呈现多元化的趋势。只要掌握了信息系统的专门知识,并能够有效地“闯入”重要的计算机网络,都可以作为网络战力量的一员。网络战力量通常以军队计算机网络战力量为主体,国家和民间计算机网络战力量为支撑,计算机“黑客”力量为补充,将这些力量有机结合起来,就可以实施有效的网络战。

(2)作战空间广阔

网络空间的互联互通、多路由和多节点的特性,导致网络边界被不断延伸,作战空间已超出传统的作战思维模式,呈现出与传统陆战、海战、空战不同的特点。同时,网络攻击武器的不断发展,使得战场不断扩大,消除了地理空间的限制,难以进行前线和后方区分,只要是信息网络能够达到和存在的空间,都可能是作战空间,使得传统的战争空间概念变得模糊。

(3)作战行动隐蔽

与真正战争不同,网络战是隐形的,在发觉之前,敌人可能就已经渗透到当前的网络,以大家看不到的某种方式悄然发动攻击,对网络系统实施破坏,攻击实力被大大隐藏。同时,一国可以通过第三方的网络攻击别国,隐藏其攻击痕迹,就算对方发现了攻击行动,也很难在短时间内查明攻击来源、攻击目的,确定攻击者身份。再者,还有一些网络攻击平时没有被激发,如某国允许将计算机代码植入其他国家的计算机网络,这些代码平时不会损害别国网络,一旦该国与他国发生冲突,这些代码将被激活,实施隐蔽攻击。

(4)作战双方不对称

网络空间过度依赖使得攻击者很容易找到攻击目标,而且攻击不受时间、地理的限制,给防御一方带来很大压力。攻击者只要成功一次就可起到一定的效果。对防御方而言,不能容忍一次失败,一次失败可能改变一场战争的走向。力量弱小的一方可以通过网络攻击获得非对称优势,一个开发成本不高的工具软件就可以实施攻击,但是防御一方则需要消耗大量的投资,才能进行有效的防御。

(5)作战效果显著

网络战充分利用光速的高质量信息移动速度,瞬时产生倍增的作战效力和速率,具有牵一发而动全身的特性。尤其是 当一方成功地对另一方的网络系统实施攻击后,就会由个体向全体蔓延,对对方军事、政治和经济等领域的重点专用信息网络,特别是部队的指挥控制等系统造成极大的破坏,大幅度削弱对方战争潜力,使整个作战态势发生急剧变化,作战效果十分显著。 例如2010年,伊朗核设施遭受“震网”病毒攻击,导致其核设施大部分损坏,破坏力甚至超过了常规军事行动的预期。

表1-1从总体特点、攻击特点、防御特点和资源特点4个方面进一步对比了传统战争与网络战争之间存在的极为明显的差异。

表1-1 传统战争与网络战争的区别对比

(续)

1.2.2 无法独善其身的全联接世界

当前,一个全联接的世界正在逐渐形成。

在联接已经成为继土地、劳动力和资本等之后新的生产要素的今天,信息与通信技术也已经由过去以提高效率为特征的支撑系统,向驱动价值创造的生产系统转变。

基于信息与通信技术的云计算、大数据、物联网与移动宽带,正在重构全新的工业文明和商业文明。在金融服务业领域,伴随互联网金融模式的兴起,让传统金融服务业更加关注如何以全联接的思考方式,为客户提供随时、随地可以获取金融服务的新型金融业务模式;在工业制造领域,传统制造工业正在进行重构,信息化与工业化产生了高度的融合,从而形成第四次工业革命的浪潮;在医疗卫生领域,全联接医疗的广泛应用,将助力传统医疗模式的转变和创新,提升医疗服务的水平和效率,优化和改变医疗资源的分布。

全联接的使命就是利用信息与通信技术实现“万物互联”。这种联接除了实现人和人之间的通信、沟通以外,还将物和物、人和物也进行了全方位的联接。

毋庸置疑,全联接必将给全社会各个行业带来巨大的商业机会与社会效益。与此同时,也需要充分认识到, 当数字世界连成一片时,大家是真正的网络安全命运共同体,再也无法独善其身。

全联接世界中,个人、组织、国家的网络安全问题息息相关。个人的隐私数据泄露了,会给他所在组织带来威胁。同理,某个组织的网络出现安全隐患了,不但会给自己带来伤害,可能还会影响到邻站以及未隔离的其他网络,甚至影响到国家安全。

因此,每个人、每个单位的信息系统都是网络空间中的一个细胞,只有所有的细胞都安全了,国家的整体网络空间才真正安全。

1.2.3 千疮百孔的代码世界

杰弗雷·詹姆斯在《编程之道》(Geoffrey James,1999)中有一段富有禅意的对话。

编程大师说:“任何一个程序,无论它多么小,总存在着错误。”

初学者不相信大师的话,他问:“如果一个程序小得只执行一个简单的功能,那会怎样?”

“这样的一个程序没有意义,”大师说,“但如果这样的程序存在的话,操作系统最后将失效,产生一个错误。”

但初学者不满足,他问:“如果操作系统不失效,那么会怎样?”

“没有不失效的操作系统,”大师说:“但如果这样的操作系统存在的话,硬件最后将失效,产生一个错误。”

初学者仍不满足,再问:“如果硬件不失效,那么会怎样?”

大师长叹一声道:“没有不失效的硬件。但如果这样的硬件存在的话,用户就会想让那个程序做一件不同的事,这件事也是一个错误。”

可见,没有错误的程序世间难求。

数字世界如此美妙、重要,但其核心构件不可避免地存在着软硬件缺陷问题,其中不少是严重的安全漏洞,一旦被恶意利用,有时就会形成难以想象的杀伤力。缺陷系统部署得越多,安全隐患就越大,它们是指向个人、组织、国家的无数可被随时引爆的数字炸弹。

现代计算机是构建在逻辑电路基础之上的。那么,逻辑电路是什么?简单地讲,逻辑电路是一种离散信号的传递和处理,以二进制为原理、实现数字信号逻辑运算和操作的电路,广泛应用在计算机与通信领域。

CPU作为最重要的计算机硬件组件,因设计问题导致的安全问题不断浮现。

1994年,出现在Pentium处理器上的FDIV bug会导致浮点数除法出现错误,该错误的原因是处理器内置的乘法表中存在输入错误。

1997年,Pentium处理器上的F00F异常指令可导致CPU宕机。

2011年,Intel处理器可信执行技术(Trusted Execution Technology)存在缓冲区溢出问题,可被攻击者用于权限提升。

2017年,Intel管理引擎(Management Engine)组件中的漏洞可导致远程非授权的任意代码执行。

2018年,“熔断”(Meltdown)和“幽灵”(Spectre)两个Intel CPU漏洞几乎影响到过去约20年制造的每一种计算设备,使得存储在数十亿设备上的隐私信息存在被泄露的风险。

这些安全问题严重危害着国家网络安全、关键基础设施安全及重要行业的信息安全,已经或者将要造成巨大损失。

再通过CVE漏洞的统计数据看看2010—2020年间软件安全漏洞数的变化趋势,如图1-13所示。

·图1-13 2010—2020年间的软件安全漏洞数量变化趋势

总体上看,历年漏洞数量整体还在持续增长,并且在10多年中最明显的变化是2020年,CVE漏洞数量已经超过2010年数量的5倍多。

以互联网中2020年10~11月监测到的全网资产数量(不包含历史数据和重复数据)对比监测到的漏洞数量计算整体互联网的漏洞比例约为15%。

根据美国国家标准与技术研究所(NIST)国家漏洞数据库(NVD)的报告,2021年CVE漏洞数量高达18378个,创下历史新高,是NVD连续第五年打破这一新纪录。其中, 约90%的漏洞都可以被技术能力有限的攻击者利用,而约61%的漏洞不需要用户交互,如单击链接、下载文件或共享凭据。

从漏洞的产生机理来说,可以将软件漏洞分为如下几类。

(1)输入验证漏洞

一般系统都会对用户输入的数据进行合法性检查,当系统未实行合法性检查的时候就会产生输入验证漏洞。据权威部门统计,目前发现的大多数漏洞都是由于系统缺少输入合法性检查而导致的。避免这种漏洞的主要方法是从根本上提升软件开发者的安全意识,使他们在编码阶段就注重代码的安全性检查。

(2)访问验证漏洞

软件系统的访问验证漏洞是由于在验证环节存在错误导致的。这种漏洞会使得非授权用户绕过系统的访问控制从而能够非法访问系统,这种漏洞的产生会造成系统数据的泄露,这会对系统安全性和公司的保密数据带来很大的威胁。

(3)竞争条件漏洞

竞争条件漏洞是由于软件系统的时序或者同步机制出现问题,导致程序在处理文件等实体时出现问题,对这种漏洞开发者需要注意优化系统的时序或同步机制。

(4)意外情况处置漏洞

若设计者在设计软件的实现逻辑中没有考虑一些意外情况时,就会产生此种类型漏洞。如打开文件与用户选择文件不一致等意外情况。

(5)运行环境错误

不同的软件需要不同的运行环境,某些软件系统需要设置特定的环境变量,如果由于环境变量的设置错误而引发漏洞,会导致某些有问题的特权程序去攻击执行代码。

(6)设计错误

系统总体设计者在系统设计上造成的错误,或者后期开发人员在具体设计实现过程中留下的错误都属于设计错误。

可以说, 网络安全的“原罪”就是人类在设计、开发、使用和运维网络信息系统过程中不断产生的大量安全漏洞与脆弱性问题,这几乎是无法完全避免的。

1.2.4 防不胜防的社会工程学

网络安全领域的社会工程学概念是凯文·米特尼克(Kevin David Mitnick)于2002年在《反欺骗的艺术》一书中提出来的,有学者将其总结为 “社会工程学是通过自然的、社会的和制度上的途径,利用人的心理弱点以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,最终可以通过未授权的路径访问某些重要数据。” 通俗地理解,社会工程学攻击就是设计各种“套路”,利用人性弱点,让人上当受骗的方法与技术。

网络安全的木桶原理告诉我们:一个组织的网络安全水平由与网络安全有关的所有环节中最薄弱的环节所决定。 其实网络安全系统中最薄弱的环节就是人,而社会工程学就是攻击人的弱点,其相对于其他网络攻击,成本最低且常奏奇效。

社会工程学攻击具备三个要素:收集信息、取得信任和实施攻击。

(1)收集信息

攻击者实施社会工程学攻击之前,必须先收集信息。信息是关键,获取信息越多,攻击方法越有针对性,攻击成功率就越高。信息来源可以来自:1)网络收集(如搜索引擎、域名信息查询、公共服务期和各网络社交媒体);2)政府企业的公开信息(如公报);3)通过简单对话交流获取的信息;4)运用观察获得的信息;5)通过垃圾堆资料还原的信息;6)购买的信息泄露数据;7)利用先进的分析机制、分析软件获取的信息。收集有效的信息用于日后社会工程学攻击,更是体现信息的价值。收集信息有时也是社会工程学的目的,所以收集信息既是手段又是目的。

(2)取得信任

信任是一切安全的基础,社会工程学正是利用诱导和伪装来重构信任,突破安全防线。攻击者通过表现自然、知识渊博或植入个人爱好等诱导技巧,极易使被攻击者产生“信任”的逻辑推论。伪装则是通过虚构的场景,伪装成虚构的身份。人们往往通过视觉和听觉来识别身份,通过“易容”来伪装身份难度很大,因此攻击者常使用电话来提高伪装可信度,也有利用人工智能等科技合成被伪装身份的声音取得信任,还有利用心理战术、使用语言的技巧设法与被攻击者达成“共识”而取得信任。一旦取得信任,安全的大门将为攻击者敞开。

(3)实施攻击

在实际的社会工程学中收集信息、取得信任和实施攻击没有严格的界限,甚至收集信息、取得信任也是一次社会工程学攻击。

每一次攻击都会有明确的目标,都会构建共识、洞悉环境和随机应变,都会使用不同的交流模型,通过语言或者非语言的交流式,去影响、说服被攻击者无意识地泄露信息、执行看似合规或符合逻辑的操作。 攻击者的成功率和时间成本有时很大程度上取决于交流模型、语言和非语言的交流艺术。

常见的社会工程学攻击方式有以下几种。

(1)使用电话攻击

使用电话攻击是主流和常见的方式之一,电信诈骗就是典型案例。一个成功的“社交工程师”要具备这些素质:博学的知识、语言的艺术、自然的交流、角色瞬间转换的心理素养、洞察他人的心理学和强的逻辑思维能力等。但是,一旦使用电话,就会降低这些要求。以电信诈骗为例,它充分应用了社会工程学原理,诈骗类型分组实施,不同类型有不同脚本,人员职责分工明确,流程按脚本逻辑严格实施,甚至可以使用技术手段修改声音及来电显示,这就大大降低了攻击者所需要的“技术门槛”。

(2)垃圾搜寻攻击

很多单位对于丢弃、销毁的资料缺少有效的管理。攻击者通过搜索目标单位丢弃的垃圾,收集还原没有完全被销毁的企事业单位及个人的信息。垃圾堆的电话本、姓名、号码、机构表格(备忘录、内部公示材料)、系统手册和废旧硬盘都可以用来帮助攻击者设计攻击目标和冒充对象。

(3)在线社会工程学攻击

在万物互联的今天,在线攻击更是攻击者的重要手段之一,给网络安全带来了重大风险。在线攻击需要有一定的网络技术,往往攻击者就是黑客。黑客利用技术通过各种欺骗手段攻击服务器和网络用户,窃取目标用户的数据、网银账号密码和网络虚拟财产等。

(4)说服类攻击

说服类攻击主要是通过语言的艺术和非语言的表现技巧,友善地说服、引诱、恭维或不友善地恐吓威逼目标,令其泄露敏感信息或执行某种职权(责)内可执行的操作。常见的案例有不良公司向老年人推销虚假功能的保健品、军工单位人员被策反泄密。

(5)反向社会工程学攻击

反向社会工程学攻击是获得非法信息更为高级的手段。攻击者会扮演一位不存在但又很权威的人物,并人为制造一个问题,诱导被攻击者向攻击者咨询、求助,从而使攻击者获得有价值的信息或执行某操作。

1.2.5 悄无声息的战争

克劳塞维茨认为,军事对抗的双方都有将对抗推至“顶点”的趋势。 在很长一段时间内,这一趋势一直在增加破坏力的道路上狂奔。但是,原子弹、氢弹等核武器出现后,这一发展失去了进步空间。电子战的出现,使得军事技术先进和优势的一方,可以率先占领电磁空间这个新的领域或空间,向对方实行“降维打击”,即在高维空间打击处于低维空间的对手。计算机网络的出现和广泛应用,使电子战与网络战之间不再有绝对的界限,网电一体打击成为崭新的方式。近年来频繁发生的网络攻击事件说明,网络战已经成为战争的首选方式和重要内容。 FJU6kKwD8ty/CmgBUce6E0IwuCdQiHqk3fRwWBj6InoHNRTHDHotmgZ+fKYFf210



1.3 高端对抗与APT

APT(Advanced Persistent Threat,高级持续性威胁)一般特指网络空间安全事件中组织性好、隐蔽性高、针对性强、危害性大和技术复杂的高端攻击形式。 本节将对其模型、要素和特点进行分析,并讨论可能的追踪方式。

1.3.1 高端对抗

网络空间安全史上,发生过多起APT攻击的典型案例。纵观这些案例的分析结果,虽然它们利用的手段和工具不尽相同,但都有着明确的攻击目标。根据对大量APT攻击事件的跟踪和分析可以发现:虽然APT攻击具有明显的定制化特征,但是一般来说,所使用技术和方法的差异主要发生在“突破防线”和“完成任务”两个阶段。许多APT攻击在被发现之前已经潜伏攻击多年,其开始时间往往无法考证。虽然现在对于很多APT攻击的完整细节了解还不够充分,但从已知的APT攻击案例可以清晰地发现,APT攻击具有以下重要特征。

(1)采用社交欺骗

社会工程学是APT攻击的一个关键元素,也是该攻击和其他黑客技术的不同之处。攻击者首先利用社会工程学进行信息的收集,然后使用收集的信息通过社会工程操纵攻击目标下载恶意软件或在一个虚假网站上提供用于身份认证的凭证。APT不是试图去入侵或者击败一个网络安全产品,而是充分地利用了人的因素避免被发现。这也是APT如此难以防范和检测的原因之一。

采用不同形式的社交网络欺骗是攻击者经常发动攻击的突破口。由于APT攻击在实施初期大多利用社会工程学手段,具有很强的迷惑性和欺骗性,利用人们心理上容易受欺骗的弱点。目标人群的社会关系、工作背景、上网行为习惯、邮箱地址和兴趣爱好等是攻击者主要收集的信息,在得到目标攻击者详细信息之后他们会精心设置专门的社交攻击圈套,利用多种形式诱骗目标人员访问恶意网站,下载并安装带有攻击代码的文件和程序。

分析许多APT攻击案例会发现,社交网站、网络聊天室、博客、微信朋友圈、论坛和搜索引擎是APT攻击收集信息时利用的主要网络资源。例如,利用被攻击者发表的论文、出版的著作、社交网络的动态、微博的粉丝种类、使用搜索引擎的习惯和搜索的关键字等调查目标人员的专业背景和整体社会关系。这种行为有效地突破了网络的物理隔离,避免了防病毒查杀,顺利通过身份认证等安全防护,最终成功实现了攻击代码的渗透和利用。

(2)利用零日漏洞

APT攻击经常利用零日漏洞进行进一步攻陷系统。攻击者希望寻找到确定的零日漏洞,用来在目标组织的IT系统其他部分中传播恶意软件。攻击者经常大量利用已知或未知的系统漏洞、应用漏洞,实现代码的运行和权限的提升,达到在网络内部的隐蔽传播和获得系统控制权。实际上,对于APT攻击者而言,通过对系统安装应用程序的版本和系统升级安装补丁的探测,常常会发现许多已经公布但还没有安装补丁的漏洞,这在某种意义上也属于实施攻击利用的零日漏洞。攻击者依据找到的针对性的安全漏洞,特别是零日漏洞,根据应用本身特征编制专门的触发攻击代码,并编写既符合自己攻击目标又能够绕过现有防护者检测体系的特种木马。这些零日漏洞和特种木马,都是防护者或防护体系所不知道的。例如,“震网”病毒主要利用网络共享和SQL注入两种类型共6个漏洞,其中两个为零日漏洞。Zero Access利用浏览器或Adobe Reader中的漏洞触发攻击。Duqu病毒利用Windows内核漏洞,触发漏洞的病毒载体为嵌入恶意字体文件的Word文档,一旦目标用户打开Word文档,恶意代码就会自动以系统最高权限运行。

(3)开发高级恶意软件

普通恶意软件有各种攻击特性和功能,以及感染用户端点和服务器系统的能力。至于那些能够综合实现基于主机的检测系统隐藏、浏览网络、捕捉和窃取关键数据,并利用隐蔽通道进行远程控制等功能复杂的高级恶意软件,APT组织会按需定制开发。定制开发的恶意软件工具经常利用已有的恶意软件的代码进行不同程度的改造,实现从非标准系统中接近特定的目标并收获信息。高级恶意软件的布放方法有很多种,如恶意无线网络、P2P种子陷阱和特制的高级鱼叉式网络钓鱼等。图1-14所示的“震网”病毒具有极为复杂的结构与无比精密的设计,它利用了操作系统的多个漏洞,可以自动传播、感染和隐身,比此前的恶意软件复杂20多倍,这标志着网络武器已完成由构造简单的低端工具向结构复杂的高端进攻型武器的转变。

·图1-14 复杂的“震网”病毒(来自安天实验室)

(4)善于逃避检测

攻击者在综合利用多种情报手段感知攻击目标的网络环境状况的基础上,有针对地选择逃避检测的方式。例如,为了准确和详细获取目标人员或系统的信息,APT攻击者会通过寻找目标所在的公有IP地址段、内部IP网段扫描、系统特征分析、系统漏洞扫描、应用软件安装探测、防病毒软件版本和升级情况探测、网络流量特征分析等详细探知攻击目标的网络环境状况。利用探知的信息有针对性地制定攻击策略,将恶意攻击行为伪装成正常网络或系统行为,达到逃避检测的目的。同时,综合运用多种先进技术,如病毒程序压缩、定制化编译、加密核心代码、变体加壳和代码注入等降低攻击代码被检测出的概率,如火焰病毒会根据不同目标系统中的硬件和软件环境特点,选择不同的病毒攻击模块实施注入攻击,可以最大限度地逃避检测。

(5)利用授权用户和可信链接

APT通常利用IT环境中的授权用户和目标进入受保护系统并获取有价值的信息。攻克用户和系统之间的可信连接是APT攻击的一种常见的策略。恶意软件有能力去分解一个克隆证书所生成的密钥,制造一个可信任的证书。攻击者分解并利用弱密钥的示例已经很多了,早在2011年,Fox-IT、Microsoft、Mozilla和Entrust就已经发出过警告。许多APT组织都采取盗用第三方证书来签名其恶意程序的方法,获得用户的信任。

(6)隐蔽的C&C通信

APT利用恶意软件和零日漏洞可以打开后门与远程指挥控制中心通信,从而获取攻击者端的具体指令和传回获取的敏感数据。

APT十分注重隐藏,一般采用动态域名解析的方式实现命令和控制(C&C)隐蔽通信。加密通信通道和信息隐藏技术被用来实现C&C数据的隐蔽通信。攻击者在使用命令和控制C&C通信时利用命令行界面工具,能够建立到Hotmail的HTTPS连接来传输窃取的数据,并且伪装成合法流量的样子,通过合法的加密通道外流,同时运用代理和多跳传输的方式使得审核异常检测防护系统很难发觉。例如,高斯病毒的病毒模块采用了压缩核心入侵代码和加密控制通信信道的方式实现隐蔽的C&C通信。Cybercraft能够根据C&C通信的流量和信息传输载体的类型等要素综合考量,自适应选择传输路径与隐蔽通信方法,尽可能降低攻击被发现的概率。火焰病毒在窃取和回传信息时采用多种加密手段,使得回传的核心数据不易被截获或追查。同时,为了进一步确保通信的隐蔽性,用于指挥C&C通信的服务器和IP地址频繁更换,很难被追踪。

同时,隐蔽的通信模式也是APT检测和取证利用的重要一环。因为C&C通信方式的选取和C&C服务器的配置也是鉴别攻击来源的一种方式,有些APT所采用的C&C方法通常更具有一致性,所以C&C通信方式和流量可以是APT的有效识别点。例如,Onion Duke与Mini Duke是看似完全不同的软件,但是研究人员通过查看其配置发现了一些端倪。研究人员在配置信息中,发现它的某些C&C服务器的注册者与Mini Duke的C&C服务器大致上相同。这样可以推断出最新出现的Onion Duke攻击和之前发现的Mini Duke有着某种联系,从而为下一步取证和防御提供参考。

(7)组织化、模块化和智能化

在充分利用现有的攻击方式的基础上,APT不断地改进和组合,针对不同的目标定制不同的攻击模块,形成自己一套完整的智能化攻击武器库。那些 看似普通的常见手段通过利用复杂系统的关联性和智能决策技术的支持,就可以发动巧妙、复杂的攻击。这些特征充分体现出APT攻击的组织化、模块化和智能化。 例如,Koobface攻击的变种目前发现有几十种,分别能够根据目标环境的安全防护特性选择使用不同的变种;Cybercraft攻击的显著特点是能够实现智能化感知,模块化适应,以及有组织地自我防护、自我恢复和自我反击;火焰病毒具有多达20几个恶意代码模块,可以根据需要进行入侵和卸载。

1.3.2 APT四要素

APT作为网络空间对抗的高级手段,具有以下四方面的特性要素。

(1)针对性

APT攻击者针对特定的攻击目标,广泛收集情报,充分利用黑客软件和黑客技术,综合多种攻击方法,专注于目标系统的漏洞利用,通过一系列长期准备为攻击提供新的、强大的方式,一旦实施攻击必定会给目标造成严重影响。

APT攻击有针对地攻击目标有很多种类,其中微软和Adobe的办公软件产品安全漏洞是经常被利用的。在很多情形下,这些软件的使用范围较广,因此存在的很多漏洞没有及时升级且未安装补丁,针对这些漏洞编写符合既定攻击策略的代码,能够顺利地绕过防护检测体系实施有针对的攻击。攻击者会针对收集到的常用软件、常用防御策略与产品和内部网络部署等信息,搭建专门的环境,用于有针对性地寻找安全漏洞,测试特定的木马是否能绕过检测。

有迹象表明,APT攻击利用酒店的无线网络有针对性地瞄准生产制造、国防、投资资本、私人股权投资和汽车等行业的精英管理者,从这些企业高管商业访问时所住豪华酒店的网络中窃取重要信息。

(2)持续性

APT攻击者很有耐心,为了重要的目标长时间持续性地渗透寻求核心敏感数据,等待发动攻击的时机。目前发现的APT攻击为取得成功用一年到三年进行谋划和渗透,攻击成功后仍持续潜伏五年到十年的案例都有。具体是通过修改系统程序、隐藏病毒进程(Rootkit)、隐藏关键文件和隐藏目录等方式实现有目的的长期潜伏。例如,攻击者如果试图获取重要的商业信息,会持续一段时间集中分析研究目标对象的特征习惯和社会关系,其中包括对目标个人情报的采集和技术细节的分析。他们也会花费很长时间研究与目标有关的通信协议,获取目标的系统版本,利用已经掌握的相同系统的漏洞进行试探,从而获取目标系统存在的漏洞,同时在系统内部不断挖掘找出应用程序的弱点和所要获取的文件位置。他们还会长期地将程序隐藏在被攻击系统中,慢慢收集敏感信息,不断提升自己的权限,十分注重自己的隐蔽。同时,攻击者会将收集到的信息首先存储在本地的隐蔽文件或服务器中,然后陆续发送到远程攻击者的服务器中。

在这种持续性的攻击中,攻击事件的发生和发展完全处于动态之中,而当前的防护体系更多强调的是静态特征异常检测,这种方式不可能对抗长期的动态变化的持续性攻击。因此,防护者或许能挡住一时的攻击,但是随着时间的推移,系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期:比如设备升级、应用需要的兼容性测试环境等,遇到这种机会攻击者就会果断进行入侵,持续性、渐进性入侵,直到达到入侵目标并提升权限。在定向入侵成功以后,攻击者会长期控制目标,获取更大的利益,同时在特定时期也会突然破坏性的爆发,最终导致系统的失守。

(3)阶段性

APT攻击行动大致分为7个阶段:利用社会工程学长期情报收集,利用鱼叉式网络钓鱼实施定向入侵,触发零日漏洞安装恶意代码,在系统中通过不断映射横向扩展搜索和挖掘关键资产和核心数据,利用特殊工具不断提升权限注重隐蔽,建立C&C通信以便部署实施长期潜伏控制,执行命令利用机密数据传输通道窃取信息或者在必要时间对系统实施破坏并清除自身痕迹。

APT攻击的生命周期通常是5个阶段:情报收集、突破防线、建立据点、隐秘横向渗透和完成任务。 情报收集阶段主要是对目标攻击者的信息收集分析的过程,找到目标系统的薄弱点;突破防线阶段是利用诸如零日漏洞、鱼叉式钓鱼和水坑攻击等手段试图入侵目标系统或者与目标系统相关的设备中;建立据点和隐秘横向渗透阶段主要是在目标系统中发掘信息横向扩展,尽可能地提升自己的权限,找到敏感信息的位置,同时与攻击者保持通信将收集到的情报上传到指定的服务器中;完成任务阶段主要是完成攻击者下达的指令获得机密信息,在必要时间使关键系统瘫痪,同时实施痕迹清理和误导,不仅能让自己的入侵不被发现,同时还可以对系统做一些适当的处理从而误导被攻击者,使得攻击更加没有踪迹可寻。

(4)间接性

任何人都有可能是APT攻击的目标,因为APT可以通过被攻击者作为跳板去入侵与之有联系的机构或者机构成员。同样,任何网站或者机构都有可能是APT攻击的目标,通过攻击一个安全防护相对薄弱的网站,就能很容易入侵浏览该网站的人员。通过入侵安全防范相对薄弱的机构,可以获得攻击与之有合作关系的最终目标机构的机会。例如,攻击者通过SQL注入攻击了Web服务器,一般也是希望利用这台被攻陷的Web服务器感染使用这台服务器的终端用户,从而利用这些终端用户作为跳板渗透进他们组织的内网。利用间接性攻击的特征不但丰富了APT攻击的路径,还增加了APT攻击的成功概率,而且使得发动APT攻击的组织不易被取证追查到。

1.3.3 杀伤链理论

对网络安全专家来说,用网络杀伤链(Kill Chain,也称网络攻击生命周期)来识别、分析并防止入侵的方法可能并不陌生。然而,攻击者始终在改进入侵手段,这可能要求我们重新审视网络杀伤链。

什么是网络杀伤链?“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,该理论也可以用来反制此类攻击(即反杀伤链)。杀伤链共有“发现→定位→跟踪→瞄准→打击→达成目标”六个环节。

在越早的杀伤链环节阻止攻击,防护效果就越好。例如,攻击者取得的信息越少,这些信息被第三人利用来发起进攻的可能性也会越小。

网络空间的杀伤链与此类似,本质是一种针对性的分阶段攻击。同样,这一理论可以用于网络防护,网络杀伤链的具体阶段如图1-15所示。

·图1-15 网络杀伤链具体阶段

要利用网络杀伤链来防止攻击者潜入网络环境,需要足够的情报和可见性来“看见”网络的“风吹草动”。当网络流量或主机终端上出现异常后,企业需要第一时间获悉并进行研判,同时为安全事件设置警报。 理论上,越在杀伤链的早期环节发现或阻止攻击,越能争取到更多防守的时间,也越能减少损失的最终发生。

(1)侦测阶段:从外部观察目标网络

在本阶段,攻击者试图确定目标的价值。他们从外部了解企业的资源和网络环境,并确定是否值得攻击。攻击者希望的理想情况是,目标防线薄弱、存在高价值数据。攻击者可以找到他们所需的信息门类,至于这些信息可能被使用的方式,那更会让企业始料未及。

目标单位的信息价值往往超出他们的想象。人员姓名等敏感信息(不仅是单位网站,而且包括社交网站的信息)是否在云端存储?这些信息可以用来实施社会工程学攻击,让相关人员透露密码。企业的网站服务器是托管给数据中心还是自主维护?这些也是攻击者关心的情报,这可以帮助攻击者缩小发现企业网络环境攻击面的工作范围。

情报层面上的问题很难处理,社交网络的普及让它变得尤为棘手。将敏感信息隐藏起来可能是一个好办法,但显然也会增加数据使用的成本,甚至影响业务。

(2)武器化、投送、激活与安装阶段:试图进入

本阶段是攻击者用工具攻击被选目标的具体过程。他们在上一阶段收集的情报数据将被用于恶意行为的实施。获得的情报越具体,社会工程学攻击就越天衣无缝。例如,通过员工信息,可以进一步设计鱼叉式钓鱼获得公司内部通讯录。或者把远程访问木马提前植入某个写有“重要内容”的文件里,诱使接收者运行它。如果知道用户服务器运行的软件信息,如操作系统版本号和应用软件类型,攻击者在企业网络里渗透和布局的把握将会大大增加。

针对本阶段的防御工作,应当参照安全标准与安全专家的建议去落实。

· 基础软件与应用程序是否在持续保持更新?这要具体到每台主机每个终端上的每个应用系统。很多单位在某个小角落还用着老式台式机,系统可能还是停服的Windows XP/7。如果这类系统接入网络,无异于对攻击者“拱手相迎”。

· 电子邮件和Web网页的过滤功能是否已经部署?电子邮件过滤可以有效阻止攻击中常用的钓鱼附件;网页过滤则可以防止用户访问已知的不良网站或域名。

· USB设备是否已得到严格管控?从安全的角度来看,自动运行USB中的可执行文件是安全大忌。任何自动执行的操作,最好在运行前都提示用户确认授权,让用户有时间进行风险判断。

· 终端防护软件的检测能力是否已实时更新?虽然终端防护软件不一定能应对新型攻击,但是它们常常可以根据已知的可疑行为或软件漏洞来捕捉威胁。

(3)命令与控制阶段(C&C):威胁已经变成现实

一旦威胁植入目标网络,它的下一个任务是给总部打电话并等待指示。恶意驻留的程序可能秘密下载额外组件,并伺机建立C&C通道与“僵尸”网络主控机通信。无论恶意软件采取何种躲避手段,在网络层,尤其防火墙与IPS安全网关位置必须建立起相应的流量检测能力。

如果最终的威胁已经发生,受害单位也应该抓紧止损补救:一是调查事件,评估损失,分析受影响的系统范围,确认被窃取或篡改的数据资产;二是对受影响的系统进行清除或重置,恢复业务;三是利用备份的数据或系统快照,快速还原到最优的运行状态,降低修复工作的时间成本。

为了规避检测,很多攻击会另辟蹊径。现实中的大量攻击事件已经充分证明了一点:攻击者不会严格按照杀伤链的预定流程来——他们可能跳过步骤、添加步骤,甚至出人预料地重复之前的步骤。种种攻击之所以经常绕过安全团队精心打造的防御体系,就是因为它们太了解防御体系的各种机制了。

另外,攻击者也可以添加步骤到杀伤链流程里,如清理痕迹、设置中断、传播虚假数据,或者安装未来用得上的后门。攻击者还可以打乱各个攻击步骤的顺序,或者重复之前的步骤。总之,杀伤链绝不是一个简单的线性过程,而更像树状、图状或根系的分支和蔓延,其过程复杂多变。

(4)持续攻击阶段:不达目标,攻击不会停止

在拒绝服务攻击案例中,服务中断不一定是攻击的最后一步。攻击者成功破坏、瘫痪或渗入系统后,还可以重复这一过程,也可以转移到另一个阶段。Preempt Security的首席执行官Ajit Sancheti认为,攻击者可能采取任意形式的组合。比如,他们可以通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金等,攻击者的盈利模式在不断增加。

比特币的使用让攻击者能更简便、安全地得到回报,这导致了攻击动机的变化。以被盗的支付卡信息为例,一旦信用卡数据被盗,这些数据会被测试、出售,用于获取商品或服务,然后再用商品或服务转换为现金。

1.3.4 对抗的痕迹

现代法证学的开山大师艾德蒙·罗卡(Edmond Locard,1877—1966)曾提出了一个用他名字命名的定律,简单来说就是八个字: 凡有接触,必留痕迹(Every contact leaves a trace)。

网络攻击极具匿名性与隐蔽性,那么网络对抗的过程是否遵守罗卡定律,一定能留下痕迹?

答案是一定的。经过多年发展,网络攻击追踪溯源已形成以下8类技术。

1)基于日志存储查询的追踪溯源技术:通过使用路由器、主机等设备对网络中传播的数据流进行存储记录,存储记录不必记录完整的数据包信息,可以只记录一些关键信息,并通过事后对这些日志信息进行查询与分析恢复出攻击路径的一类技术。

2)基于路由器输入调试的追踪溯源技术:利用路由器的调试功能进行特征匹配,如果匹配成功则该路由器在攻击路径上,一般通过从被攻击端开始回溯。

3)基于数据包标识的追踪溯源技术:将路径信息进行编码后填充在网络数据包的特定字段,跟随网络数据包在网络中传播,最后在被攻击端收集这些信息通过特定的算法恢复出攻击路径。

4)基于单独发送溯源信息的追踪溯源技术:路由器主动向转发的数据包目的地址发送ICMP报文,用于告知该路由器在该数据包的传播路径之上。

5)基于SDN的日志追踪溯源技术:将SDN网络中的流相关信息以日志或者中间文件的形式记录在控制层或者单独的溯源取证服务器,并根据日志或者中间文件重构攻击路径的技术。

6)基于SDN的路由器输入调试追踪溯源技术:通过灵活控制SDN路由器调试功能进行特征匹配恢复攻击路径的技术。

7)基于威胁情报的追踪溯源技术:通过对威胁情报信息中的“僵尸”网络、网络跳板、匿名网络和隐蔽信道等信息进行关联,实现控制主机追踪溯源,并可通过威胁情报中黑客及其组织的特征信息进行关联实现攻击者识别的技术。

8)混合追踪溯源技术:多种技术结合的追踪溯源技术,常结合采用存储查询的追踪溯源和基于数据包标记的追踪溯源这两种技术达到取长补短的目的。 FJU6kKwD8ty/CmgBUce6E0IwuCdQiHqk3fRwWBj6InoHNRTHDHotmgZ+fKYFf210

点击中间区域
呼出菜单
上一章
目录
下一章
×