执法部门对于网络攻击表示不满,但出席黑帽大会的几位发言人主张利用攻击工具和僵尸网络存在的漏洞,对攻击者予以还击。报复性攻击应该成为大IT部门用来对付网络攻击的另一种安全工具吗?
这是个颇有争议的想法,执法部门对于网络攻击通常表示不满;但是近日在美国首都华盛顿举办的黑帽大会上,几位发言人探讨了这个话题:敌人显然在利用攻击工具闯入企业网络,恶意破坏企业数据安全,那么企业要不要予以还击?如何还击?
在会上备受关注的一个想法是,有人提出利用攻击工具和僵尸网络存在的漏洞,设法确定攻击者在找什么目标下手或者设法提供虚假数据,或者甚至是潜入攻击者的网络大本营。
TEHTRI-Security是一家总部设在法国的道德行为和漏洞研究公司,该公司创办人兼首席执行官Laurent Oudot在黑帽大会上发言时表示,要是结果查明攻击者已接管了企业系统,你自然而然想要“予以还击”,查清楚攻击者在搞什么名堂,采用的手段有可能是找到对方所用的攻击工具存在的漏洞,然后植下你自己的后门,悄悄监视攻击者。
Oudot说:“我们想要奋力还击。我们想要钻对方网络的空子。”你需要与攻击者有关的统计数字和日志,有可能借助这个想法:攻击Zeus或SpyEye,甚至攻击由某个国家在背后资助的攻击者。Oudot特别指出,要找到便于破坏攻击工具的零日漏洞并不是很复杂。他公司在识别漏洞方面有着丰富的经验,包括与移动设备有关的几个漏洞。他表示,还击像Eleonore这样的攻击工具包,或者有意将虚假信息提供给攻击者,其实相当简单。他说:“你能奋力还击。你的敌人又不是什么道德黑客。”
安全研究人员Matthew Weeks最近加入了美国空军,他也谈论了对显然利用攻击工具闯入网络的黑客要不要还以颜色的问题,承认执法部门可能会认为大多数予以还击的想法是违法的。
但是作为开源版Metasploit的开发者之一(这个工具用来测试和探测网络漏洞,既可以用在正道上,也可以用在歪道上),Weeks表示,诸如此类的工具存在自己的漏洞,就像任何一种软件一样,攻击者可能没有注意到要给自己的攻击工具打上补丁。
他在会上继续深入地探讨了开源Metasploit存在的一些漏洞。他还表示,同样可以用于攻击的其他工具也存在漏洞,比如Nessus或者Wireshark协议分析工具。
虽然进行反击的想法仍然有争议,特别是由于可能会造成“意想不到的后果”,但Weeks特别指出,作为安全研究人员,他自己倾向于研究如何运用像“tarpits”这样的对策:一旦攻击者相互联系,这种对策会让他们进入死循环。
Weeks表示,这样有可能“将攻击中的一些资源搁置起来”;监测黑客在搞什么名堂是明智之举。现在还很少有证据表明,公司企业或文职政府机构在试图采用这些方式,以其人之矛攻其人之盾,对付攻击者;但是世界上几个国家(包括美国)的军事部门正在增强网络军事力量,致力于支援报复性打击能力。而谁也没有否认发生在网络空间的间谍行为。
漫长的较量
虽然以暴治暴也许能够遏制网络攻击威胁,但黑帽大会上的几位发言人表示,数据窃贼还是在轻而易举地潜入企业网络——在有些情况下,只要诱骗某个被盯上的受害者打开一封电子邮件这么简单。据安全公司Mandiant声称,数据窃贼通过这个途径趁机而入,收集最有价值的信息;他们往往在几个月、甚至几年内有条不紊地着手这种攻击;所以想要将他们逮个现行,关键得有耐心。
Mandiant分享了其事件响应小组在调查中发现的一些结果,并且特别指出:数据网络窃取常常是个有条不紊的漫长过程,绝对不是抢来就跑的一次性事件。攻击者通常通过针对某一个员工的网络钓鱼电子邮件潜入进去,进而控制住基于Windows的计算机,然后开始在网络上四处搜索,寻找最有价值的数据,之后开始在已中招的机器上的“集结区”(staging area)收集数据,企图最终通过RAR文件之类的数据容器,将这些数据传送出去。
谈到攻击者如何偷偷将数据传送到网络外面的话题时,Mandiant公司的安全顾问Sean Coyne表示,在许多情况下,“攻击者在那里潜伏了好几个月,甚至好几年。”他特别指出,一家受到攻击的国防承包商事后发现,在几个月期间,超过120GB的数据(主要是Word文档)被人偷偷收集起来,攻击者挑选了一个集结区,把偷来的数据集中打包,然后用RAR、ZIP或CAB文件等数字容器发送出去。
他指出:“发送一个大文件要比发送几个小文件来得容易。大多数企业的IT用户完全没有注意到”,尽管他们可能在想为什么自己的计算机(被用作了集结点)突然速度似乎变慢了。
攻击者常常使用后门特洛伊和数据收集工具,比如一款名为Poison Ivy的工具。据Mandiant声称,但数据窃贼善于躲避,他们很多时候采用手动方法,而不是自动方法,避开安全控制措施,比如预防系统或数据丢失预防(DLP)。
Mandiant的顾问Ryan Kazanciyan表示,他看到过这样一个案例:一家不幸中招的企业在使用迈克菲主机入侵预防系统来查找RAR文件,但攻击者发觉原来的攻击手法引发警报后,完全换了一种监视不到的攻击手法。
Coyne表示,“有些坏人会采用能想到的一切手法”,然后伺机将数据发送出去;有的人“对攻击手法精挑细选”。不过证据表明,如今的数据窃贼倾向于采用适合自己风格的惯用方法。
被问到旨在监视或阻止有人企图未经授权,将数据传送到企业外面的DLP工具在对付数据外泄方面是否有效时,Kazanciyan和Coyne都表示了怀疑。
DLP主要是用来“防止用户意外向外发送文件,”Coyne说。“它不是为了应对针对性攻击而设计的。”Kazanciyan表达了类似的观点。如果企业怀疑有数据窃贼在搞鬼,要做的头一件事就是“不要恐慌,”Coyne说。要是轻率地对网络进行改动,只会让攻击者起疑心,从而改变攻击手法。这是基于风险的决定;但暂时可能需要作出决定,监视被窃取的数据,不管这个过程有多痛苦,同时另一头悄悄地搜寻,查清楚攻击者在企业网络里面所做的手脚。
链接:安全注意事项
怀疑遭遇了网络窃贼?
下面是安全公司Mandiant在安全注意事项方面给出的几个要点。
•要明白攻击者可能潜伏了好几个月,甚至潜伏了好几年;你的目的是要立即遏制对方。
•调查工作需要侧重于查找证据,比如攻击者经常在使用RAR文件这种数据容器,将大量数据发送出去之前用来数据的集结区。
•由于大多数针对性攻击是从针对员工的网络钓鱼电子邮件入手的,所以要加强安全教育和技术措施。
•不要恐慌,因为那样攻击者会知道你盯上了他们,他们就会改变攻击手法。
•不要匆忙清除电脑,并重新制作镜像,因为你可能毁掉了取证分析所需要的证据。
•不要让你的网络仍然是“扁平的”——添加虚拟之类的隔离环境会有所帮助。