本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第3章,第3.3节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.3 攻击剖析
为了开发更好的情报技术以应对网络攻击,首先理解攻击的工作方式、区分不同类型的工具是很重要的。本章和全书中概述的方法不是用于应对一次性攻击或者撒下大网而在幕后没有真正想法的普遍性攻击的。今天的大部分安全团队所拥有的工具都可以非常高效地应对这些攻击,因为这种攻击使用商品化的恶意软件,采用大批次攻击而没有任何针对性的概念。
围绕使用情报检测和预防网络攻击,我们专门讨论有计划、有针对性的攻击。前面我们已经介绍过,安全公司在2013年发现针对性攻击显著增加。Symantec曾经报告,每5.2家小型企业和每2.3家大型企业中就有一家遭到过针对性攻击。整个业界都估计针对性攻击的数量将会继续增长。针对性攻击现在已经超出了高级持续性威胁(APT)的范畴,实际上,由于地下市场持续扩张,越来越多的网络犯罪分子正在改善自身的技术,区分针对性攻击和APT变得越来越困难。当然,攻击是APT还是普通的针对性攻击无关紧要,重要的是阻止这些攻击。为此,安全团队必须像攻击者一样思考,理解入侵过程。
洛克希德-马丁公司为美国国防部开发了图3-1所示的攻击链模型(Hutchins等人,日期不详)。典型的针对性攻击分为7个部分,每一个部分都比前一部分更加接近于网络访问权的获得。
任何针对性攻击的第一步都是侦察。5年以前,目标网络的侦察包括扫描公开的IP地址,寻找脆弱系统。现在,仍然有一些人这么做,但是这对于行动的成功已经不像以前那么重要了。相反,现代化的侦察包括扫描社会化媒体账户、搜刮LinkedIn信息、观察会议网站,甚至只是例行地在Google搜索“@目标域名.com”。
实际上,大部分侦察行动可以在不接触目标组织网络的情况下进行。通过搜索引擎、挖掘邮件列表存档和使用美国网络地址注册管理组织(ARIN)或者当地同类机构网站上的网络工具,就可以得到宝贵的信息。如果有必要真正地扫描目标网络,通过一台被入侵主机或者通过预付费(或者盗窃的)信用卡租赁的主机基础设施重定向这类活动也很容易。这并不重要,各大组织每天都被成百上千个IP地址扫描,很少发现组织会保留这些信息。
一旦行动的侦察阶段完成,下一阶段就是武器研制。在这一阶段,攻击者结合远程访问工具(RAT)和利用,确定交付方法。在大部分情况下,交付通过电子邮件进行,利用通过某个网站或者被侵入的文档进行。使用网站时,这个网站可能是攻击者专门为此次行动建立的(不过,如果获得成功,网站可能会被重用)或者指向攻击者已经入侵的某个合法网站的链接——网站上往往会引入一个武器化的横幅广告。
攻击的第三步是使用所选的交付方法,交付武器化的工具。这是电子邮件攻击的发动、社会化媒体活动的开始或者在作为“水坑”的被入侵网站上激活武器化的工具。攻击战役中的交付部分可能花费几天到几周的时间。在此期间,攻击者持续调整和改进交付方法,以提高成功率。这听起来很类似市场部门进行的讨论,没错,就是如此。正如市场团队对成功和失败的评估,攻击者在行动中也会这样做。他们将尝试不同的邮件信息,跟踪已阅读、未阅读的信息,并做出调整以改善命中率。
攻击链中的下一步是真正的利用攻击,工具已经交付且目标点击了链接,打开U盘中的文件或者插件且利用了目标系统中的某个漏洞。利用攻击的目标可能是系统上的某个应用程序(如Adobe Acrobat或者Internet Explorer),也可能是对操作系统本身的利用攻击,还有可能是对目标本身的利用攻击。许多有效的攻击活动依赖于简单地在目标屏幕上弹出“为了观看这个视频,必须下载一个新的驱动程序”或者类似的信息。另一种常见的目标欺骗手段是,攻击者伪装成网络管理员,告诉目标必须建立与其机器的远程会话,对于愿意配合的目标,攻击者的工作就简单得多了。
大部分攻击者使用两阶段的体制。利用攻击包含一个加载程序,这是一个非常小、驻留内存的应用程序,用于下载和安装真正的RAT。加载程序驻留在内存是因为它们不太容易被防病毒软件等传统安全工具发现,而且加载程序可能发起一次快速的系统扫描,确定将在系统上安装哪一个RAT。
安装是攻击链中的第5个阶段。每个攻击者有两三种惯用的工具,用于获得网络的远程访问权限。大部分RAT不仅仅与外界通信;它们可以扩展,攻击者可以安装按键记录程序、屏幕捕捉程序、网络扫描程序或者其他需要的应用。每次行动对RAT的使用都是独立的,这并不意味着两次行动中不会使用相同的RAT,而是攻击者将在行动之间重新编译RAT(有时候甚至在同一次行动之中),使它在防病毒工具眼中显得不同。RAT执行的功能相同,但是防病毒工具不知道它们是相同的程序。
攻击链中的下一步是命令和控制(C&C)。安装好的RAT试图联系攻击者的基础设施,获得受害机器的命令行访问权限。RAT休眠时通常有一个等待期,然后联系外界的某个IP地址、域名或者URL。RAT和C&C主机之间最常用的通信端口是80(HTTP),但是443端口(HTTPS)越来越常用。攻击者使用容易被拦截的6666和6667(IRC)或者21(FTP)端口的日子已经一去不复返;HTTP流量在网络中很普遍,将C&C协议流量与其他使用HTTP的流量融为一体很容易。
一旦攻击者获得访问权,他们必定调查系统和内部网络,寻找较脆弱的主机以传播攻击。这样做有时是故意的,最初的进入点可能不是攻击者特别感兴趣的,所以攻击者用它获得网络中的立足点,入侵其他机器并从原始机器中删除自己的痕迹。这样,即使以后发现了入侵行为,原始的入口点和访问手段也可以瞒过安全团队,在必要时可以再次成功地使用。这是攻击链中渗漏步骤的一部分。到这个阶段,攻击者将进行网络发现,研究机器和网络其他部分上的文件,捕捉帮助他们达到目的的任何信息。
这凸显了近几年来攻击形势的另一个重大变化:正如情报组织的客户们提出收集请求并接受完成的情报那样,攻击者也是如此,实际上,这些攻击者可能是私人或者国家资助的情报组织的成员,他们正在履行领导人的要求。高级攻击者往往使用和目标组织相同的情报循环。这意味着,在许多方面上,攻击者比他们所针对的组织更老练。
