防火墙在过去的几年里得到了不断的发展,并且有效地抵御了那些试图通过开放的服务端口从受保护的基础设施之外渗透的威胁。网络地址转换器(NAT)在入口点无处不在的存在,使得在组织外部的主机扫描时几乎不可能获得任何有意义的结果。尽管分布式拒绝服务(DDoS)攻击在今天仍然像十年前一样流行,但是传统的针对基础设施的暴力攻击的现代变体带来了临时的网络中断,可以快速地进行修复。现有的防御解决方案也可以加强识别这些攻击,从而能够抵御未来类似的攻击。更重要的是,这些攻击对一个组织造成了有限的负面经济影响。
现代安全攻击以内部安全漏洞开始,当内部用户被引诱到创建出站连接并连接到恶意软件交付网络时,所有类型的恶意可执行文件,如键盘记录器、木马、rootkit和ransomware都被托管下载。安全危害现在来自内部。黑客,黑帽子,威胁者——不管我们怎么称呼他们,这些人都是聪明的,有创造力的,能够创造出巧妙的漏洞。他们的动机是金钱或政治信仰。那些由政府资助的人拥有无穷无尽的资源,使他们成为可怕的对手。
本书不专注于基于主机的解决方案,如病毒识别、内存取证、恶意软件可执行分析和rootkit基本原理。在这本书中,我们选择关注那些与关键的常见操作相关的主题,这些主题是在成功的渗透之后进行的,即与指挥和控制(C2)中心(或“回连”)的沟通,以及对有价值数据的渗漏。
4.1 网络战和定点攻击
现代攻击是秘密的,目标个人和组织都是为了获得最大的经济利益。互联网,尤其是Web 2.0,促进了一个非法的影子经济的快速增长,即使不是数十亿美元的交换,也能带来数亿美元的经济增长。对组织的现代攻击造成了巨大的经济损失,远远超过了受害机构的影响。对国家安全至关重要的机密材料在网络攻击中受到了损害。针对国家发动的网络战可能带来的破坏,可能只是用战争术语来描述和衡量。
4.2 网络空间中的间谍活动和破坏
“月光迷宫”是一项为期两年的网络间谍活动,它是由一个被怀疑是俄罗斯的国外组织发起的,在1998年至2000年期间,针对五角大楼、美国国家航空航天局、能源部以及美国各主要研究机构和大学的计算机系统进行了网络间谍活动。月光迷宫窃取了大量关于美国军事设施和军事硬件蓝图的信息。
2004年,桑迪亚国家实验室的一名员工发现了“泰坦雨”(Titan Rain),这是美国联邦调查局(FBI)对网络攻击的代号。攻击者对洛克希德·马丁公司和桑迪亚国家实验室的高度敏感的计算机系统进行了渗透,以及可能的目标,如美国国家航空航天局和其他国防承包商。据估计,它已经活跃了三年多,据信是由中国政府赞助的。Titan Rain是最具破坏性的网络间谍攻击之一,旨在窃取军事情报和机密数据。泰坦雨是基于先进的持续威胁。高级持续性威胁(APTs)是一种复杂的网络攻击,它在本质上是极其隐蔽的,由高技能的人员开发,他们可能是具有全面情报收集和网络渗透工具的专家。通过在一段较长的时间内逐渐对数据进行筛选,可以避免检测。APTs将在第8章进一步讨论。
在Titan Rain三年后,对一个独立国家的第二次大规模网络攻击成为网络战争历史的一部分。据称,攻击者入侵爱沙尼亚是由俄罗斯政府资助和管理的,这使爱沙尼亚的信息基础设施瘫痪,包括政府部门、金融部门、媒体出版物和广播机构。
在网络战争中,没有任何破坏活动像Stuxnet攻击纳坦兹的伊朗核融合工厂那样严重。Stuxnet恶意软件于2010年被发现,据称是由美国国家安全局(NSA)、中央情报局(CIA)和以色列情报机构共同开发的,目的是破坏和阻止伊朗核燃料浓缩项目的进展。Stuxnet的发展跨越了两届美国总统任期。Stuxnet的设计是为了重新编程可编程逻辑控制器(PLCs),这是工业控制系统中常见的组件。事实上,Stuxnet包含了迄今为止已知的第一个PLC rootkit。Stuxnet是由zero - day漏洞和一个Windows rootkit组成的,以及用于规避基于行为的反病毒引擎分析和执行高级过程注入的技术。它可以通过网络或通过移动驱动器传播。零日漏洞攻击是对一个只有攻击者才知道的新漏洞的攻击。
震网病毒通过以一种细致的方式改变电机的速度来打破离心机,以避免被发现:它使离心机的速度增加15分钟,然后恢复正常的运行,休眠27天,然后在返回控制前将离心机的速度降低50分钟;然后在冬眠后再重复这个序列27天。在每次攻击序列中,Stuxnet恶意软件会禁用相关的警告和安全控制,以防止系统在速度变化时警告操作员。Stuxnet破坏了大约1000个IR - 1型离心机,在工厂的峰值运行过程中大约占到10%。Stuxnet表明,工业破坏会导致严重的基础设施故障,从而导致国家紧急情况。Stuxnet提供了强有力的证据证明它的创造者能够完全进入相关的工业控制系统和离心机,从而开发并验证代码。只有由国家赞助的组织才能促成这样的行动。
2012年,多家组织发现了火焰,也被称为Skywiper,被报道为有史以来最复杂的恶意软件;预计这将需要数年时间才能解开。与震网病毒类似,火焰似乎是美国和以色列之间的另一项共同努力,历时5年,作为一种网络间谍武器,从伊朗境内的多个目标收集和输出情报。
2013年,“宿醉”事件被曝光,是一系列源自印度的袭击,并搜遍了巴基斯坦的实体,窃取了对印度国家利益至关重要的信息。“宿醉”是APT攻击的另一个例子,尽管它最终未能实现它的目标,但它已经运行了两年多,之后才被公之于众。
这些重大的国家赞助的网络攻击事件,已经永远改变并巩固了网络空间对于战争的“第五领域”地位的重要性,这是对土地、海洋、空气和空间领域的新补充。网络战争的概念已经从抽象的理论转化为形式化的理论,为军事战斗剧场的实际部署做准备。信息系统被视为军事资产,必须防御敌人的攻击,利用它们收集外国情报,并部署在攻击对手的攻击中。
武器化的恶意软件现在是军事武库中攻击能力的一部分,因为网络战可以对与常规武器相当的目标造成物理伤害。网络战可以针对军事和民用目标展开。诸如智能电网、核电站、水处理系统、空中交通管理和控制系统、石油和天然气管道、食品和饮料供应链管理系统、金融交易系统等关键基础设施都通过网络连接起来,并通过网络接入,使它们成为理想的目标。破坏这些关键的基础设施会产生有害的影响,导致金融系统的经济崩溃和巨大的生命损失,并在整个国家造成广泛的恐慌和混乱。网络战争可以从几千英里以外的地方发射,没有实体的存在,并且现役的军事装备,如坦克,战斗机和导弹系统都受到干扰和破坏。
4.3工业间谍活动
近年来,在许多有针对性的攻击中,工业间谍活动明显增加,其中一些例子阐明了一个事实,即不可攻破的安全是不存在的,潜在的APTs构成对任何组织的严重威胁。有针对性的攻击意味着有一个特定的目标,它拥有攻击者所期望的数据,这些攻击者将坚持他们的攻击,直到他们获得目标。因此,这样一个潜在的目标必须集中于持续的攻击检测和消灭解决方案,以抵御APTs,并结合一种心态,即攻击是恒定的,并且可能是成功的,而不是只专注于预防攻击。
4.3.1极光行动
2010年1月,谷歌公开披露,其在中国的运营受到了APT攻击。奥罗拉行动是针对谷歌中国的一次有针对性的攻击,该组织是由一个名为Elderwood Group的组织在北京发起的。在很大程度上,人们相信攻击开始于目标谷歌的员工收到一封电子邮件或一个即时消息,这是伪造的,好像它来自一个可信的来源。在一个例子中,电子邮件包含一个链接。这个链接把员工带到台湾的一个网站,这个网站承载了恶意的JavaScript。该员工的Windows Internet Explorer浏览器随后自动下载了这个JavaScript,它在浏览器中运行并利用了zero - day漏洞。一旦JavaScript执行,它就会下载另一个伪装成图像文件的恶意负载;这个有效负载随后创建了一个后门,并将恶意软件连接到它的C2服务器上。在这一点上,攻击者完全可以访问谷歌的内部系统。
在另一个例子中,e - mail附带了一个恶意的PDF文件附件,它利用了adobereader程序中的一个漏洞。一旦打开,在PDF文件内的嵌入式恶意软件允许攻击者远程控制系统以进一步渗透。不管渗透方法是什么,这个恶意软件都是在源代码库中进行的,并试图访问中国政治活动人士的谷歌电子邮件帐户。30多家高科技公司和防务公司都是同样的间谍活动的目标。在恶意软件的复杂本质和攻击的精心策划的方式中,国家赞助是显而易见的。
关于奥罗拉行动的一个令人不安的事实是,直到谷歌在2009年12月发现了攻击,许多(如果不是全部)受害的公司完全没有意识到他们正在被渗透,而且他们的机密知识产权正在被攻击者窃取。
微软已经知道了这个zeroday漏洞,它允许攻击者在2009年9月之后执行远程代码执行。修复Internet Explorer浏览器错误的补丁计划在2010年2月发布。Adobe在2009年12月就知道了它的漏洞,直到2010年1月谷歌披露之后,该漏洞才被修复。这些软件程序的所有用户都暴露在潜在的攻击中,而供应商正在进行修复工作。与此同时,黑帽公司在努力最大限度地利用这些漏洞。安全行业要解决的一个关键问题是,在解决方案可用之前,一般公众能做些什么来保护自己,或在脆弱的时候减轻威胁。
由于攻击者获得源代码存储库,操作极光公布了一个可怕的新威胁:偷源代码后,攻击者可能会修改源代码通过实现一个新的利用或后门杠杆在未来对整个用户群的产品由源代码树。代码修改可以通过伪装成合法用户或利用可能存在于底层源代码控制系统中的软件缺陷来提交到原始的源代码树中。被盗的源代码肯定会被详细的漏洞分析,以创造未来的漏洞。
在奥罗拉行动中,多层安全防护失败:受害者的反垃圾邮件防御没有抓住恶意电子邮件;他们的web过滤解决方案允许用户连接到托管这些漏洞的网站;他们的防病毒引擎没有检测到恶意软件的下载,这可能是由于这些漏洞的零日特性;他们的IDS和IPS系统在入侵过程中未能识别任何异常模式;他们的DLP系统没有阻止任何数据的过滤。
4.3.2水坑式攻击
在动物王国里,我们目睹了食肉动物追逐猎物的戏剧性场面,以极高的速度旋转,并以极大的专注力追逐猎物,而猎物则用它强有力的冲刺将猎物抛之脑后。猎物挣扎求生的强度是无法想象的,离死亡只有几英尺远。有时猎物会逃跑,而猎人会一瘸一拐地走开,在沮丧中流口水。
在塞伦盖蒂,还有另一种狩猎方式,在那里,捕食者潜伏在一个水坑里,耐心地等待猎物靠近这个珍贵的池塘,而当它贪婪地喝着时,捕食者就会狂奔,准备突袭。
在网络空间中,攻击个人用户需要黑帽来穿透第一层防御,也就是强化防火墙,可以快速检测到。水坑攻击是一种有针对性的攻击,而不是针对个人,而是针对一个特定的群体,基于群体的利益和行为。2014年8月,一家软件公司的网站上发布了一款针对不同行业的模拟和系统工程软件的“水坑恶意软件”活动。据悉,该网站经常由在汽车、航空和制造业等行业工作的工程师经常光顾。攻击者将微软Internet Explorer 0天的漏洞植入了受损的网站。这一漏洞利用了通过访问者的Internet Explorer浏览器执行远程代码注入和执行多阶段的代码。该漏洞执行了侦察操作:对访问者的各种信息进行探测,记录访问者的按键,并对其进行加密,然后将收集到的数据传输到其C2服务器。