這是個頗有爭議的想法,執法部門對於網絡攻擊通常表示不滿;但是近日在美國首都華盛頓舉辦的黑帽大會上,幾位發言人探討了這個話題:敵人顯然在利用攻擊工具闖入企業網絡,惡意破壞企業數據安全,那麼企業要不要予以還擊如何還擊
在會上備受關注的一個想法是,有人提出利用攻擊工具和僵屍網絡存在的漏洞,設法確定攻擊者在找什麼目標下手或者設法提供虛假數據,或者甚至是潛入攻擊者的網絡大本營。
TEHTRI-Security是一家總部設在法國的道德黑客行為和漏洞研究公司,該公司創辦人兼首席執行官Laurent Oudot在黑帽大會上發言時表示,要是結果查明攻擊者已接管了企業系統,你自然而然想要“予以還擊”,查清楚攻擊者在搞什麼名堂,采用的手段有可能是找到對方所用的攻擊工具存在的漏洞,然後植下你自己的後門,悄悄監視攻擊者。
Oudot說:“我們想要奮力還擊。我們想要鑽對方網絡的空子。”你需要與攻擊者有關的統計數字和日志,有可能借助這個想法:攻擊Zeus或SpyEye,甚至攻擊由某個國家在背後資助的攻擊者。Oudot特別指出,要找到便於破壞攻擊工具的零日漏洞並不是很復雜。他公司在識別漏洞方面有著豐富的經驗,包括與移動設備有關的幾個漏洞。他表示,還擊像Eleonore這樣的攻擊工具包,或者有意將虛假信息提供給攻擊者,其實相當簡單。他說:“你能奮力還擊。你的敵人又不是什麼道德黑客。”
安全研究人員Matthew Weeks最近加入了美國空軍,他也談論了對顯然利用攻擊工具闖入網絡的黑客要不要還以顏色的問題,承認執法部門可能會認為大多數予以還擊的想法是違法的。
但是作為開源版Metasploit的開發者之一(這個工具用來測試和探測網絡漏洞,既可以用在正道上,也可以用在歪道上),Weeks表示,諸如此類的工具存在自己的漏洞,就像任何一種軟件一樣,攻擊者可能沒有注意到要給自己的攻擊工具打上補丁。
他在會上繼續深入地探討了開源Metasploit存在的一些漏洞。他還表示,同樣可以用於攻擊的其他工具也存在漏洞,比如Nessus或者Wireshark協議分析工具。
雖然進行反擊的想法仍然有爭議,特別是由於可能會造成“意想不到的後果”,但Weeks特別指出,作為安全研究人員,他自己傾向於研究如何運用像“tarpits”這樣的對策:一旦攻擊者相互聯系,這種對策會讓他們進入死循環。
Weeks表示,這樣有可能“將攻擊中的一些資源擱置起來”;監測黑客在搞什麼名堂是明智之舉。現在還很少有證據表明,公司企業或文職政府機構在試圖采用這些方式,以其人之矛攻其人之盾,對付攻擊者;但是世界上幾個國家(包括美國)的軍事部門正在增強http://.網絡軍事力量,致力於支援報復性打擊能力。而誰也沒有否認發生在網絡空間的間諜行為。
漫長的較量
雖然以暴治暴也許能夠遏制網絡攻擊威脅,但黑帽大會上的幾位發言人表示,數據竊賊還是在輕而易舉地潛入企業網絡——在有些情況下,只要誘騙某個被盯上的受害者打開一封網絡釣魚電子郵件這麼簡單。據安全公司Mandiant聲稱,數據竊賊通過這個途徑趁機而入,收集最有價值的信息;他們往往在幾個月、甚至幾年內有條不紊地著手這種攻擊;所以想要將他們逮個現行,關鍵得有耐心。在
Mandiant分享了其事件響應小組在調查中發現的一些結果,並且特別指出:數據網絡竊取常常是個有條不紊的漫長過程,絕對不是搶來就跑的一次性事件。攻擊者通常通過針對某一個員工的網絡釣魚電子郵件潛入進去,進而控制住基於Windows的計算機,然後開始在網絡上四處搜索,尋找最有價值的數據,之後開始在已中招的機器上的“集結區”(staging area)收集數據,企圖最終通過RAR文件之類的數據容器,將這些數據傳送出去。
談到攻擊者如何偷偷將數據傳送到網絡外面的話題時,Mandiant公司的安全顧問Sean Coyne表示,在許多情況下,“攻擊者在那裡(電腦自動關機)潛伏了好幾個月,甚至好幾年。”他特別指出,一家受到攻擊的國防承包商事後發現,在幾個月期間,超過120GB的數據(主要是Word文檔)被人偷偷收集起來,攻擊者挑選了一個集結區,把偷來的數據集中打包,然後用RAR、ZIP或CAB文件等數字容器發送出去。
他指出:“發送一個大文件要比發送幾個小文件來得容易。大多數企業的IT用戶完全沒有注意到”,盡管他們可能在想為什麼自己的計算機(被用作了集結點)突然速度似乎變慢了。
攻擊者常常使用後門特洛伊木馬和數據收集工具,比如一款名為Poison Ivy的工具。據Mandiant聲稱,但數據竊賊善於躲避,他們很多時候采用手動方法,而不是自動方法,避開安全控制措施,比如入侵預防系統或數據丟失預防(DLP)。
Mandiant的顧問Ryan Kazanciyan表示,他看到過這樣一個案例:一家不幸中招的企業在使用邁克菲主機入侵預防系統來查找RAR文件,但攻擊者發覺原來的攻擊手法引發警報後,完全換了一種監視不到的攻擊手法。
Coyne表示,“有些壞人會采用能想到的一切手法”,然後伺機將數據發送出去;有的人“對攻擊手法精挑細選”。不過證據表明,如今的數據竊賊傾向於采用適合自己風格的慣用方法。
被問到旨在監視或阻止有人企圖未經授權,將數據傳送到企業外面的DLP工具在對付數據外洩方面是否有效時,Kazanciyan和Coyne都表示了懷疑。
DLP主要是用來“防止用戶意外向外發送文件,”Coyne說。“它不是為了應對針對性攻擊而設計的。”Kazanciyan表達了類似的觀點。如果企業懷疑有數據竊賊在搞鬼,要做的頭一件事就是“不要恐慌,”Coyne說。要是輕率地對網絡進行改動,只會讓攻擊者起疑心,從而改變攻擊手法。這是基於風險的決定;但暫時可能需要作出決定,監視被竊取的數據,不管這個過程有多痛苦,同時另一頭悄悄地搜尋,查清楚攻擊者在企業網絡裡(電腦自動關機)面所做的手腳。
鏈接:安全注意事項
懷疑遭遇了網絡竊賊
下面是安全公司Mandiant在安全注意事項方面給出的幾個要點。
•要明白攻擊者可能潛伏了好幾個月,甚至潛伏了好幾年;你的目的是要立即遏制對方。
•調查工作需要側重於查找證據,比如攻擊者經常在使用RAR文件這種數據容器,將大量數據發送出去之前用來存儲數據的集結區。
•由於大多數針對性攻擊是從針對員工的網絡釣魚電子郵件入手的,所以要加強http://.安全教育和技術措施。
•不要恐慌,因為那樣攻擊者會知道你盯上了他們,他們就會改變攻擊手法。
•不要匆忙清除電腦,並重新制作鏡像,因為你可能毀掉了取證分析所需要的證據。
•不要讓你的網絡仍然是“扁平http://www.xsyzj.cn的”——添加虛擬局域網之類的隔離環境會有所幫助。
以牙還牙是對付網絡攻擊的解決之道嗎?