2.4.2 策划欺骗
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.4.2 策划欺骗,策划一个成功的以欺骗为基础的防御组件有6个基本步骤来。第一步,经常被忽视,是确定防御者想要达到的战略目标。简单地增加一个包含类“蜂蜜”成分(如蜜罐和蜜文
件)的计算机系统,给我们一种正在用欺骗手段骗恶意敌手的错觉。准确描述基于欺骗的机制的目标是什么必不可少。例如,以捕获恶意软件为目的简单设置一个蜜罐与利用蜜罐监控类APT攻击是明显不同的。
指定欺骗过程中的战略目标后,需要确定——框架中的第二步——攻击者应该如何应对欺骗。这种决定是任何欺骗过程长期成功的关键。例如,Zhao和Mannan [51]的研究中指出欺骗发起了在线猜测攻击的攻击者,使他们相信已经找到了正确的用户名和密码。这种欺骗过程的战略目标是直接令攻击者的注意力指向一个“假”账户,从而浪费他们的资源并监控他们的活动、了解他们的目标。分析目标在“假”登录后应该如何反应是重要的。明显的反应是,攻击者将继续在目标系统中移动,试图进一步进行攻击。然而,另一种可替代的反应是,攻击者停止猜测攻击,并报告给其命令和控制方:一个成功的用户名/密码对已被发现。考虑到第二个选择,我们可能需要维护假账户的用户名/密码对,并使该账户的信息与未来的目标保持一致。
此外,第二个步骤中的一部分是要指定我们希望攻击者做出如何反应,由此试图影响他的看法,从而导致他做出我们想要的反应。继续之前的例子,如果希望攻击者再次登录使我们有更多的时间来监视和设置一个假账户,那么可能会需要人工断开网络,使目标再次登录。
1.恶意敌手的偏见
基于欺骗的防御是有用的工具,这已在人类许多次的冲突中被证明。它们的有效性依赖于一个事实,即利用人们如何思考的特定偏见,正如上文所讨论,这使它们看起来似乎是真实的,但做出隐藏真相的错误选择。这些机制给防御者提供了解更多攻击者信息的能力,减少了防御者系统间接泄露的信息,从而给防御提供了一个优势。
策划欺骗的第三步是了解攻击者的偏见。正如前面所讨论的,偏见是任何基于欺骗的机制的成功基石。欺骗者需要提出一个貌似真实的谎言以成功地欺骗和/或迷惑恶意敌手。如果攻击者认为这些信息是不可信的,则更倾向于拒绝它们,或至少使他们更加怀疑目前被欺骗的可能性。当防御者确定了欺骗的战略目标和想要的目标反馈,则需要调查攻击者的偏见,决定如何最好地影响攻击者的感知,以收到想要的回应。
在开发一些欺骗性的计算机防御中使用偏见的一个例子是“验证性偏见”,它可以导致敌人误入歧途并浪费他们的时间和资源。验证性偏见被定义为“对现有的信念、期望或一种假设的证据寻找或解释的方式”[52]。计算机防御者可以在应对已知的计算机系统边界的恶意敌手探测上使用这种偏见。传统的安全防御的目的是通过简单地丢弃这些请求或积极响应一个明确的拒绝来检测和防止这种活动。利用一些预先存在的期望,即确认偏差,再进一步,我们可能会提供一个系统正在进行一些定期维修或遇到意外的失败的响应。对于这样的响应,防御者会设法防止非法活动,并提供一个考虑下一步防守的间隙,这也许会使恶意敌手为了等待或探测其他的替代方案以继续他们的攻击,进而消耗他们的时间。
文化偏见在设计欺骗性的响应中发挥了重要作用,正如前文所讨论的那样。例如,一些研究发现了计算机攻击类型和攻击源的文化/国家的关系[53]。
在计算技术中,谬误的偏见结合可以通过利用多个详细组件的结合呈现欺骗性故事。例如,欺骗者想要通过创建一个人为的网络故障而不是简单地阻止攻击者的尝试来误导攻击者,这可以很好地提供一个较长的故事。一个“对不起,网络因为一些定期的维护而不可用,请在三小时内回来”的消息比简单地说“网络不可用”更合理,因此更有可能被相信。
2.制造欺骗性的故事
在分析攻击者的偏见之后,欺骗者需要准确地确定什么组件需要被模拟/伪装,即图2.3所示框架中的步骤4。
图2.4给出了欺骗可以使用的、利用攻击者的偏见能达到所期望的响应的不同系统组件的概述。总体而言,欺骗可以被注入系统的功能和/或状态中。下面对这些类别中的每一类进行讨论,并给出一些例子。
(1)系统的决策
我们可以将欺骗应用于任何计算机系统所做的不同决定。例如,Zhao与Mannan是在系统的认证决策上应用欺骗,为了防止在线猜测攻击,他们通过给攻击者提供“假”账户来欺骗恶意敌手。另一个可以使用的系统决策涉及防火墙。习惯上,在检测到特定IP地址来自攻击源后添加可以阻止它们与系统交互的防火墙规则。根据Zhao与Mannan [51]的讨论,我们考虑了数据泄露的另一种形式。因此,可以增加防火墙,通过给恶意敌手提供貌似真实的回应将欺骗应用到他们的决策中,而不是简单地拒绝访问。
(2)系统软件与服务
侦察是任何计算系统的任何攻击的第一阶段,正如在杀伤链模型中所确定的那样[32]。基于蜜罐的机制的主要焦点是提供虚假的系统和服务。前面讨论过蜜罐的目的是为攻击者提供一批假冒伪造的系统运行的服务。此外,可以用欺骗来隐藏目前现有的软件/服务的身份。Murphy等人[54]提出了空军计算机防御中使用操作系统的模糊处理工具。
(3)系统的内部和公开数据
上文所讨论的蜜文件就是一个将欺骗渗透到系统内部数据的例子。它可以应用于计算机系统的原始数据中,例如,文件和目录,或用于决策和/或监视系统的活动的管理数据。在蜜词本方案[24]中我们可以看到一个将欺骗应用到管理数据的例子。欺骗也可以被注入系统的公开数据中。Wang等人讨论了以捕获类似鱼叉式网络钓鱼[55]的攻击者为目的的传播包含“假”人员信息的公开数据的情况。Cliff Stoll在他的书[4]中也进行了这样的尝试。此外,我们注意到,这一类数据还包括离线存储的数据,如备份,它们可以作为欺骗的焦点。
(4)系统的活动
一个系统内的不同活动被认为是信息泄漏的一个来源。例如,流量分析作为攻击者推断信息的一种手段被人们长期研究[56]。此外,一个系统的活动已被用来作为一种区分“真假”的手段[25]。可以巧妙地向系统注入一些活动的数据来影响攻击者的感知,从而影响他们的反应。
(5)系统的弱点
恶意敌手探测计算机系统试图发现并利用任何弱点(漏洞)。通常,这些恶意敌手会准备一个可能的漏洞列表,然后尝试使用它们直到发现是有效的。传统的安全机制迅速、及时地回复任何尝试利用已修复的(即打补丁)包含拒绝响应的漏洞的行为而对恶意敌手有利。这种响应会泄漏那些已知且已修复的漏洞信息,但把欺骗注入系统的这一方面,则可以通过迷惑恶意敌手而给他们传送错误信息——通过不给他们提供一个是否成功的明确答复——或通过使漏洞看似已被利用而欺骗他们。
(6)系统损害的评估
这涉及先前的组件,但是,这里的重点是使攻击者认为造成的损害多于或少于真正的损害。我们可能希望恶意敌手相信,他已经造成了比实际发生的更多的危害,这样或者可以阻止攻击或者导致攻击者不再那么咄咄逼人。在前面的章节讨论的OODA循环的背景下,这是特别重要的。如果想通过促使一个更积极的攻击来了解更多攻击者的信息,我们可能希望恶意敌手相信,他只引起了较少的危害。
(7)系统的性能
影响攻击者对系统性能的感知也许会使欺骗者处在一个有利的位置。这在前面所讨论的欺骗的目的是减缓恶意敌手的探测活动的黏性蜜罐和延迟器的使用上已经很好地体现了。而且,延迟器已经用于扼制网络恶意软件的传播。Somayaji等人也提出了一种通过减缓操作系统对一系列异常系统调用的响应来处理入侵的方式[57]。
(8)系统的配置
了解防御者的系统和网络配置,对恶意敌手的成功攻击很重要。在杀伤链对抗模式的横向运动阶段,攻击者需要知道如何以及在何处移动以作用于他们的目标。Cohen和Koike实验中的红队在网络视角下用特定序列攻击目标系统[58]来欺骗恶意敌手。
在决定哪一种组件需要被模拟/隐藏之后,可以应用文献[29]中讨论的Bell和Whaley的技术。下面给出了如何利用这些技术的一些例子。
使用隐藏。这体现在攻击者将潜在的攻击脚本隐藏在文字颜色与背景颜色的匹配上。当我们将隐藏应用到软件和服务时,在检测到一个探测活动后,我们可以隐藏正在运行一些特定的服务的事实。例如,当我们收到一个来自已知的恶意IP地址的SSH连接请求时,可以隐藏SSHd程序,做出好像服务不工作或是出错的反应。使用重新包装。在一些情况下,将数据“重新包装”为其他的东西可能更容易。在计算技术中,重新包装一直被用来攻击计算机用户。臭名昭著的跨站脚本(XSS)攻击就使用了此技术,攻击者将恶意链接伪装成无害的链接,当用户浏览时就会窃取其cookies。另一个例子是跨站请求伪造(XSRF),恶意敌手会欺骗用户访问一些看起来无害的、默默地指导用户的浏览器进行一些不必要的活动的网页。此外,重包装技术也被应用在木马僵尸网络,它们将自己包装为防病毒软件来欺骗用户安装,如此,攻击者就能控制用户的机器。从防守的角度来看,包装的行为可以在上面讨论的蜜文件中看到,把蜜文件包装为正常的文件,可在被访问时可以默默地提醒系统管理员。使用眼花缭乱术。这是隐藏最弱的一种形式,我们把目标与其他对象混淆在一起。使用了该技术的一个例子可以在“蜜词本”方案[24]中看到。该方案将每个用户密码的哈希值和额外的(N-1)个其他密码的哈希值混合在一起,使得想获得证书数据库的攻击者眼花缭乱。使用模仿技术。在计算机领域,网络钓鱼攻击是一个不需要欺骗登录页面而模仿一个真正的网站登录的传统示例。攻击者通过模拟真实的网站欺骗用户的证书,从而利用用户实现入侵。从防守的角度来看,可通过模拟不同系统的响应来模仿软件和服务,例如,在运行Windows 7系统时做出好像正在运行一个版本为Windows XP的反应。这将在攻击者试图利用Windows 7机器而考虑它是Windows XP时浪费他们资源,也会增加发现攻击的机会。在Murphy等人的操作系统中的模糊处理研究里也可以看到这种技术[54]。使用创造技术。模仿要求结果看起来像其他事物,而当不容易实现时,可以用创造来代替。这种技术在计算机安全防御欺骗应用的大多数研究中都可以看到。蜜罐是通过创建一系列节点来欺骗攻击者,使他们相信所处的环境为真实的系统。使用诱骗。这种技术用于把敌人的注意力从一个计算机系统的重要组成部分上转移开。在一些情况下,蜜罐用于显示某些系统比其他部分的组织结构更脆弱,从而引起攻击者的注意。这可以在Carroll和Grosu [59]的研究看到。
在决定了使用哪一种欺骗性的技术后,需要分析攻击者的感知模式,然后应用这些技术中的一个或多个来实现期望的反应。
欺骗是对事实的一种主动性操纵。我们认为有3个一般的方式可以操纵事实,正如在图2.5a所描述的那样。我们可以制造事实,改变事实和/或隐藏事实。这些可以应用在讨论过的任何组件中。
此外,不仅可以在系统存储的数据中应用事实操作,还可以在数据的两种其他特征中应用。正如图2.5b显示的那样,可以针对数据的存在性、数据的属性和/或数据的值对事实进行操作。不仅可以对存在的数据操控它们的存在,也可以进行创造。这是可以实现的,例如时间戳操作。至于数据的属性,我们可以修改数据的大小,例如无底洞文件,以及何时、为什么创建数据。数据的值也可以被修改。例如,日志文件通常被认为是很重要的数据,恶意敌手通常试图删除它来隐藏踪迹。使一个文件看起来像一个日志文件,从恶意敌手的角度来看将会增加它的价值。
在这一步中,确切地指出欺骗过程应什么时候被激活是至关重要的。合法的用户活动不能受到欺骗组件的干扰通常是很重要的。最好的情况是欺骗只会在恶意交互的情况下被激活。然而,我们认识到,由于合法活动和恶意的活动之间的界限可能是模糊的,所以这可能并不总是能够实现。我们认为,有许多可以替代传统的基于拒绝的防御措施以达到折中的状态。
3.反馈通道和风险
基于欺骗的防御不是一个单一的一次性防御措施,因为它是许多先进的计算机防御的集合。对防御的监控是非常重要的,更重要的是衡量防御者对攻击者的看法和行为的影响。这是欺骗框架中的步骤5。我们认识到,如果一个攻击者检测到他被欺骗了,他可以利用这个优势来做一个反欺骗回应。为了成功地监视这样的活动,我们需要清楚地识别用于监控和测量任何恶意敌手的感知和行为的欺骗通道。
在第六个阶段,即实施和整合前的最后一步,我们应考虑欺骗可能会引入一些新的组织需要考虑的风险。例如,事实上,恶意敌手可能会发出一个反欺骗操作,它是一个新的需要进行分析的风险。另外,欺骗对正常用户活动的影响也是需要分析的。防御者需要准确地识别与这些欺骗组件使用相关联的潜在风险,并确保剩余的风险是可接受和确定的。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.4.2 策划欺骗
