犯罪类型:各种有后台的APP 犯罪行为描述:通过中心化后台进行管理所有业务
昱澄服务: 无感渗透侦察
并出具资金流向和犯罪嫌疑人身份报告 协助出具司法鉴定报告
完成犯罪案件溯源
攻击的第一步一直是收集攻击目标的信息,也就是通常所定义的“攻击侦察”。研究网络侦察技术的发展演变,对于部署或规划有效的对策至关重要。
- 网络攻击可以分为几个阶段,但第一步总是收集攻击目标的信息,即“侦察”。
- 目前有多种侦察技术可用,其中的许多技术甚至不需攻击者直接接触攻击目标。
- 对抗侦察活动必须在攻防双方“军备竞赛”的框架下进行。
- 防御者似乎比攻击者落后一步。对策应旨在:加强培训、实施主动防护、尝试网络欺骗防御工具、开发从设计开始的反侦察服务,以及重新考虑隐私概念。
每一种网络威胁的复杂程度各不相同,而且并非每种攻击都有相同的目标、影响或范围。研究认为,攻击大体上分为几个阶段(如图1所示):《网络安全监控之道》一书将攻击分为五个阶段,《网络杀伤链》则将攻击分为七个阶段,ATT&CK框架提出了一种更精细化的划分方法。
无论哪种模型,攻击的第一步总是收集攻击目标的信息,这就是通常所定义的“侦察”(reconnaissance)。侦察的最终目的是确定目标系统的薄弱环节,并制定有效的攻击方案。
侦察通常依赖一系列技术和流程的组合,并非仅限于收集攻击目标特征的技术信息,比如所使用的硬件或软件版本。攻击者收集攻击目标实际位置、电话号码、目标机构工作人员的姓名及电子邮件等详细信息。实际上,任何信息都可以用来开发软件漏洞利用工具或暴露防御系统的弱点。
遗憾的是,互联网不断发展,社交网络日渐普及,加上用于扫描智能设备和物联网节点的服务大行其道,这些因素导致信息源急剧增多,使侦察阶段更快速、更轻松、更有效。这可能防止与攻击目标接触或限制接触的持续时间,因而更难以及早检测并阻止侦察活动。
研究网络侦察技术的发展演变,对于部署或规划有效的对策至关重要。即使研究对攻击侦察的某些方面进行了研究(比如网络扫描和利用社会工程的技术),但相关信息非常零碎,缺少对其全面评估。
有鉴于此,本文在介绍新兴趋势的同时,将对现有的攻击侦察技术和对策进行“横向”评述,包括流行侦察方法的分类和演变,可能适用的对策,以及未来的方向。
一、侦察技术的种类和演变
为了展示最重要的网络侦察技术,并说明演变趋势,我们主要介绍以下四类侦察:
- 社会工程:指收集信息,以欺骗某人或说服对方按照期望方式行事的方法。
- 互联网情报:指充分利用互联网上的公开信息(包括可通过Web访问的数据库)的方法。
- 网络信息收集:指解析攻击目标的网络(或计算)基础架构的方法。
- 侧信道:指利用攻击目标意外泄露信息的方法。
每一类代表与攻击目标的某种“互动程度”,实际上,与信息源的互动程度取决于攻击侦察的目的,这一理念得到广泛认可。比如说,阅读计算机屏幕内容需要靠近攻击目标,可能会有实际接触;扫描攻击目标的网络则可以远程进行。此外,一些侧信道方式利用的测量方法则必须靠近攻击目标(比如为测量电磁场强度或热源的温度);从社交网络获取数据,则不需要与攻击目标运行或拥有的资产进行互动。
很显然,策划复杂的攻击活动或绕过多个网络边界(比如隔离区部署的虚拟化服务)可能需要不同方法的组合。攻击者与目标互动的时间越长,攻击企图被发现并消除的机会就越高。遗憾的是,由于社交媒体的出现,许多流程和工作流逐步数字化(工业4.0或智能XX模式中出现了这幕),以及搜索引擎日益普及,数据收集工作更快速、更有效。图2列出了侦察技术的分类,强调了时间演变以及需要与攻击目标交互的程度。这里需要特别指出,该图旨在确定该方法首次出现的时间,而不是它们被使用了多久(实际上,大多数侦察技术仍在攻击者的工具箱中)。
现在我们介绍研究中列出、现实中看到的几种最重要的侦察技术(附文《侦察技术和来源实例》对这些侦察技术进行了进一步总结和介绍。)
社会工程学。这可能是最古老的一类侦察技术,它利用了安全链中最薄弱的环节:人。因此这一方法异常有效。实际上,社会工程学滥用攻击目标的信任,操纵和欺骗对方,并说服攻击目标共享机密信息,或执行可能对攻击者有用的活动,比如下载和安装键盘监听木马。它还可能大大缩短收集信息所需的时间,常常基本上不需要什么技能。研究中列出了社会工程学攻击的几种类型,但最简单的分类包括两种:基于人(需要直接或当面交互)和基于技术(不需要攻击者露面)。基于人的技术最古老,包括假冒、翻垃圾或背后偷窥等方法。基于人的攻击仍在使用,但现在基于技术的攻击似乎更流行,包括网络钓鱼和垃圾邮件等,或者使用弹出窗口和特别制作的电子邮件,诱骗用户安装恶意软件。
社会工程学的另一个重要目的是获取有关攻击目标的信息,或者丰富其他技术收集的(不完整)信息,比如,暴力破解网站上看到的用户名/电子邮件的密码。由于人们可能使用多个沟通工具和众多社交媒体服务,攻击者有众多的机会来策划侦察活动,因为除了针对社交网络的在线欺诈和伪造身份攻击外,还可以使用面对面、电话/VoIP或即时消息等服务。“自带设备”(BYOD)模式更是加剧了这类风险,这种模式使企业更难控制员工的笔记本电脑、手机和智能设备,或更难执行访问工作空间、维基、论坛和网站等共享资源的规则。
互联网情报。在互联网上搜索公开信息可能是任何攻击者采取的第一步。现在可供查询的信息源数量众多,因而可以检索大量看似无关紧要的信息片段,如果适当组合,这些信息变得很宝贵。从这个角度来看,互联网情报是“攻击性”的开源情报(OSINT),仅限于互联网及其服务的可用信息。比如Web、公共数据库、解析物联网节点的专用扫描服务以及地理或地理参考信息源。幸运的是,《通用数据保护条例》(GDPR)部分缓解了这种风险,对欧盟内部许多公共数据库的访问受到限制。互联网情报还可用于执行被动式踩点(footprinting),即收集公开信息,以识别硬件及/或软件基础架构。
下面我们将讨论互联网情报的主要使用趋势。
Web信息源。互联网的日益普及和搜索引擎的发展为攻击者的工具箱添加了新的强大工具。侦查活动通常始于攻击目标的网站。借此,攻击者可以收集重要数据,比如员工姓名、邮件地址、电话号码或目标的实际地址,用于执行社会工程学攻击或实施其他威胁。个人信息还可以与从社交网络收集而来的数据相结合。比如说,一旦获取了公司的组织机构和员工名单,攻击者可以结合Facebook或LinkedIn上的信息,发动网络钓鱼或语音钓鱼攻击。
由于可以减少攻击者与攻击目标的互动,从而使数据收集阶段难以被发现,搜索引擎对于互联网情报至关重要。比如说,攻击者可能编写了一些脚本,直接从靠近攻击目标的网站执行屏幕抓取操作,因此在Web服务器日志中留下了一些痕迹。然而,谷歌或Internet Archive等服务提供的网页缓存版本可以用来避免侦察活动留下痕迹。
除了可以从索引页面系统检索的详细信息(比如爱好、拥有的书籍和唱片或光顾的商店)外,搜索引擎还可用于执行更精细化的情报收集活动。Google Hacking是最流行的技术之一,它利用高级运算符来执行精准的查询,主要是为了揭示安全漏洞或配置错误。比如说,攻击者可以使用“inurl”之类的运算符在URL中搜索,然后可以使用“inurl:/hp/device/this.lcdispatcher”查询谷歌,以发现有关打印机型号的详细信息,从而揭示潜在的漏洞或搜寻预先设计的漏洞利用工具。另一种可能的侦察机制结合“用谷歌引擎搜索互联网”的上述技术,即使用搜索引擎收集相关端点的信息,无需收集或分析网络流量。
公共数据库和信息源。网上众多的公共记录是另一个重要的信息源。实际上,每个IP地址和域名在公共数据库中都有注册,该数据库还可能含有联系地址和电话号码。无需直接扫描主机或设备,即可推断出表明攻击目标网络“布局”的某些信息。如果查询美国互联网号码注册管理机构(ARIN),可以获得分配给目标的完整IP地址块。域名系统可以提供有关所采用的寻址方案和命名策略的大量详细信息。用于侦察的其他信息源是whois和rwhois,它们可以提供IP地址块和攻击目标的自治系统的详细信息。
公共扫描服务。如前所述,攻击成功主要取决于识别目标网络/系统中的漏洞。就在几年前,这还需要直接扫描主机、网络设备和软件组件,或者能够通过嗅探器等设备收集网络流量。为了减小直接暴露风险,一种可能的技术是使用僵尸机网络,即一大批由攻击者控制的受感染主机。然后,僵尸机可用作代理。即使这种方法可以阻止别人查明扫描/攻击的源头,但仍可以发现或阻止这种企图。最近的趋势改变了这种情况,如果侦察活动攻击物联网设备或暖通空调等智能环境更是如此。实际上,Shodan、Censys和ZoomEyef等工具的出现使侦察发生了根本性转变。大致上讲,这类服务以分布随机的方式自动扫描整个IPv4公共寻址空间,并通过类似搜索引擎的界面或特定的应用编程接口,提供获得的信息(比如二手硬件、敞开的端口或交付的服务类型)。想了解使用Shodan获取互联网情报的示例用法,请参阅下图《Shodan查询和相关情报示例》。类似用于索引互联网的搜索引擎,攻击者也可以在不直接接触目标设备的情况下收集数据,并快速轻松地列出潜在目标/攻击目标的名单:文献常常将其定义为“非接触式主动侦察”。
非接触式主动侦察方面的一个最新趋势结合了不同的公开信息源。举例说,可以将通过Censys收集的数据与全国漏洞数据库结合在一起,提高发现已知漏洞的准确性。
网络信息收集。公开数据不足时,攻击者需要与攻击目标的基础架构直接交互。最流行的一类技术是“网络扫描”,它可以解析远程网络或识别所使用的操作系统和应用程序。网络扫描技术通常分为两大类:被动扫描和主动扫描。在被动扫描中,攻击者通过监测流量来推断有关网络的信息。为此,可以部署嗅探器以捕获和检查数据流,tcpdumph和Wireshark是两款最流行的工具。这可能还需要“镜像”网络设备的端口以复制流量。而主动扫描收集信息的方式却是,有意生成特定的数据包(又叫探测数据包),并将其发送到考虑下手的网络设备,然后分析响应。我们指出,攻击者执行扫描时应“保持低调”,防止因异常流量而被发现。比如说,可以用入侵检测系统(IDS)和防火墙发现这一异常:生成过多的ICMP数据包或不完整的TCP连接。可以在协议栈的不同层面进行扫描。下面我们介绍根据范围分类、用于收集网络信息的几种最流行的侦察技术。
网络和设备枚举。与网络信息收集有关的活动有两个重要部分:网络枚举和设备枚举,前者用于发现主机和服务器,后者用于识别攻击目标暴露的物联网节点及其他设备。尽管可以使用Shodan等服务,但攻击者可能仍需要“手动”搜索设备,比如由于攻击目标使用私有IPv4寻址方案,或为了核查与之前获得的信息是否一致。网络元件和设备枚举常常通过流量分析来执行。然而WiFi、蓝牙和ZigBee之类的无线技术越来越普及,以连接灯泡、各类传感器、智能插座和门锁之类的智能设备,一种新形式的技术应运而生,这种技术类似无线搜寻(wardriving,即搜索和标记无线信号,供以后使用)。比如说,由于无线接入点配置不当,电磁信号有可能“泄漏”到攻击目标控制的物理边界之外,因此不法分子就可以扩大潜在的攻击面。为了扫描这种纷繁复杂的技术环境,专门为物联网侦察而设计的工具应运而生。比如说,有人提议采用一种被动式工具来扫描多种无线技术。一个有趣的想法是,通过对物联网节点的类型(比如摄像头或智能扬声器)及状态(比如智能开关是打开还是关闭)进行分类,利用所观察的数据流,而不仅限于设备枚举。这可以使攻击者获得非常精确的侦察信息。
端口扫描和指纹识别。一种名为端口扫描的方法旨在探测设备,以确定是否存在敞开的端口和可利用的服务。尽管文献介绍了众多方法,最受欢迎的方法还是充分利用TCP三路握手过程的不同行为。然后,端口扫描可以通过尝试发送SYN/ACK数据包,并建立一条完整的传输连接,发现某个远程TCP端口是否敞开,或中途终止这个过程。主要局限性是需要维持大量TCP连接,从而导致传输瓶颈或耗尽所用机器的资源。因此,扫描速度降下来,侦察活动可能被发现。最近的趋势是充分利用这种分布式框架:既能缩短扫描时间,又能减少异常的资源使用(资源异常使用会导致攻击者被识别)。
扫描还可用于识别目标节点中的来宾操作系统或可用应用程序。这称为指纹识别,可以通过主动方法和被动方法来实现。以操作系统指纹识别为例,这种主要的技术利用这点大做文章:每个操作系统的网络栈在响应精心设计的探测数据包时表现出细微的差异(比如说,TCP段的初始序列号和ICMP数据包的默认TTL值等)。这类信息可用于远程确定被检查设备的操作系统的类型和版本。应用程序指纹识别使用一种稍有不同的技术。在这种情况下,攻击者充分利用“banner”,这是服务器端应用程序在接受客户端之前发送的一种前导信息。通过用连接请求刺激主机,攻击者可以获取banner,以揭示活动应用程序和服务的详细信息(比如,软件版本可用来确定已知漏洞)。nmap是一种用于网络信息收集中主动扫描的典型工具。
应用程序级侦察。最近,一类名为应用程序级侦察的技术备受关注,尤其是用来推断目标主机的某些高级功能。为此,攻击者可以利用扫描工具来揭示攻击目标网络的某些薄弱环节。典型的这类工具包括Nessus、Acunetix和Vulnersm之类的商业套件,或IVREn和Vega之类的开源解决方案。另一种想法是利用探测数据包,实际探测攻击目标的保护程度。在这种情况下,攻击者可以使用获得的响应时间,了解防病毒产品是否在目标机器上运行或病毒特征是否已更新。
蜜罐检测。蜜罐日益用于收集恶意软件方面的信息,以采取适当的防御技术或反击,尤其是面对僵尸网络的情况下。从攻击者角度来看,蜜罐是一种危险,因为它们可用于传播不正确的信息,从而使侦察阶段(部分)无效。因此,能够发觉深陷虚拟空间(蜜罐)是开发成功威胁所需的一项核心技能。为此,攻击者可以检查是否存在TUN/TAP设备或ARP缓存中是否有特定条目,以便让病毒特征可以区别真实环境还是虚拟环境。另一种机制充分利用了蜜罐的“公平”行为,这种行为阻止节点危害第三方。因此,攻击者可以尝试攻击主机,并启动某些攻击性模式。攻击者可以从结果来判断是真实节点还是虚拟节点。
侧信道。“侧信道”这个术语最早由Lampson提出,常常指滥用从计算设备泄露的不可预测的信息,以推断敏感信息的攻击。一个令人关注的研究方向始于上世纪90年代,物理侧信道攻击加密算法及其实现。实际上,只要检查表面上无关的数据(比如加密消息所需的时间、主机功耗或设备CPU形成的电磁场),攻击者就能推断出有关所用算法和密钥的信息,因此可以提取加密密钥或进行概率猜测。因此,按照原来的设想,侧信道需要与攻击目标密切交互。
这类技术再度流行,尤其是用于侦察目的。比如事实已证明,从屏幕、打印机和键盘泄露的信息或信号可用于获取登录信息或加密密钥。其他类型的侧信道也日益被使用,尤其是这种侧信道:让攻击者可以控制目标附近的传感器,或推断触摸屏上的键盘输入内容,从而利用用户留下的指纹来猜测所使用的解锁模式或PIN码。由于现代软硬件具有高度的互连性和虚拟性,因此还可以以完全远程的方式执行侧信道攻击,因而无需与攻目标接触。比如说,侧信道攻击可用于解析云基础架构,以了解服务是虚拟化还是容器化,或执行缓存计时攻击。总而言之,使用侧信道是一把双刃剑,因为它可能需要靠近目标,这可能会加大暴露攻击者的风险,因此应认真评估所获得信息的价值。
二、攻击侦察应对
正如网络安全其他领域中上演的一幕一样,对抗侦察须在攻防双方“军备竞赛”框架下予以应对。由于有多种侦察技术,很难完全阻止攻击者对目标进行侦察。近年来,对策日臻完善,图3是相关对策的分类(技术的位置取决于估计首次出现的时间)。
侦察应对策略的发展经历了三个主要时期。最初,主要方法包括培训和提高用户安全意识,以降低社会工程学攻击的有效性或防止敏感信息泄露。为达到这一目标,应定期对互联网上的公开信息进行持续的审计/监测活动。
对策的设计由主要考虑技术而非人出发时,发生了范式转换。第一波围绕被动式应对策略,旨在直接应对某种特定的侦察技术,比如扫描或嗅探。最近的趋势围绕主动式应对策略:在这种情况下,不断干扰或阻碍攻击者,比如有意传播误导性数据。
- 基于人的对策
为了减少通过社会工程可以收集的大量信息,包括互联网上的信息,一种有效的方法旨在通过加强培训和教育,以减小个人的影响。具体来说,培训可以向用户解释哪些信息可以公开共享,以及如何公开共享,从而限制暴露在社会工程攻击面前的机会。培训还可以帮助技术人员学习攻击者使用的工具,以揭示安全攻击事件、设计变通方式。
同时,安全专家应持续实施公共信息监测,即执行某种“保护性”的OSINT。获得的数据可以用于指导用户和技术人员。更重要的是,公共信息监测有助于评估目标的安全程度、降低数据泄露风险以及制定更高级的对策。
- 基于技术的被动应对策略
被动式对策直接应对侦察活动,包括利用侧信道的侦察活动。该方法的主要局限性在于,如果威胁不断变化,必须调整防御机制以保持有效性。
主要的被动应对方法如下:
防止嗅探和扫描。安全研究介绍了数个限制攻击者嗅探流量,以了解网络配置和属性的方法。
通常的想法是确定有线/无线网卡是否设置成混杂模式。混杂模式是指,尽管主机不是预期的目的地,收到的所有帧都传输到协议栈的更高层。实现这一目标存在两种主要技术:基于质询和基于测量的技术。在基于质询的方法中,防御者用特别设计的网络流量(通常是MAC地址伪造的数据包),触发嗅探机器给予响应。在基于测量的方法中,向怀疑被攻击者控制的主机大量发送合适的流量模式。在这两种情况下,提供的应对方式或其演化都将帮助防御者识别侦察活动。只可惜,硬件和操作系统的不断发展降低了这类技术的有效性,主要是由于需要更新模板以对比收到的流量。
最后,Shodan等自动高效扫描服务改变了精心设计的寻址方案的重要性。实际上,无论在端到端透明度,以及对整个地址空间实施暴力扫描的难度方面,物联网和智能设备可以充分利用IPv6。
然而,IPv6可能直接暴露网络的一部分,结合使用私有IPv4方案和网络地址转换(NAT)是一种常见的早期一线防御技术。不过,仍应考虑防火墙和IDS等传统技术,作为对付端口扫描和指纹指纹企图的首要对策。最后,最近的防护方法还致力于分析反向散射流量,即由未分配或未使用的IP地址近乎实时地生成的网络流量。这类方法可用于识别工业控制系统环境中的侦察活动。
侧信道净化。为限制暴露于侧信道的风险,分别有硬件和软件对策,以“净化”数据泄露的行为。硬件机制主要包括使用法拉第笼式封装限制信号泄露,减少金属零部件数量,或降低电路功耗以控制电磁辐射。在软件对策方面,包括对操作序列或查表执行随机化的工具,以及避免特定指令模式的机制,以防CPU/GPU发出可识别电磁。
侧信道还让攻击者可以解析云数据中心或蜜罐中的虚拟资源。缓存体系结构或计时行为常常被滥用以实现该目的,许多对策专注于修改底层操作系统,以引入时间填充(以确保受保护功能的执行时间独立于该功能运行所依赖的任何秘密数据)、缓存清理(运行敏感功能后禁止获取缓存的状态)以及动态分区(保护可信进程的资源在执行过程中避免被不可信进程访问)等方法。可以在虚拟机管理程序内或在应用程序层面部署应对侧信道的其他可能的对策。
如果侧信道用于推断通过网络传输的信息,主要的解决方案是使用某种流量规范。在这种情况下,适当处理协议数据单元,可以消除可被用来推断数据的数据流的模糊性。比如说,只要检查延迟和包间时间(IPT)等统计信息,就能察觉防火墙是否存在,因此合适的缓存技术可以防止泄露这种信息。
- 基于技术的主动应对策略
有人提出了主动式解决方案,通过不断改变或破坏侦察阶段获取的信息,来防范攻击者。相关研究中主要有两类主要的技术。
移动目标防御(MTD)。这类方法旨在摆脱攻防双方目前不对称的局面。实际上,MTD通过动态改变网络和节点的配置,使泄露的数据不稳定或失效,从而减少攻击目标暴露的风险。
由此带来的代价是,给防御者和正当用户带来了额外开支,比如说,更改配置所需的延迟,以及因重新分配地址而导致设备临时不可用。生产级MTD机制的一个例子是,动态网络地址转换通过替换TCP/IP标头信息,同时确保服务可用性,以便干扰恶意扫描。保护云环境的另一种方法是,修改调度程序以随机分配虚拟机,并防止在同一物理机上运行的多个虚拟机共存攻击和侧信道攻击。
网络欺骗。另一种新兴的主动式网络防御技术是网络欺骗。在这种情况下,防御者向攻击者提供误导性信息以欺骗对方。一种可能的方法是对网络流量做手脚,向攻击者提供一种虚拟但无用的网络拓扑。与MTD不同,基于网络欺骗的机制并不持续改变受保护的部署环境。相反,它旨在使攻击者的注意力从最关键的部分转移到别处,或者将攻击者一路引诱到蜜罐或蜜网内。蜜罐试图将攻击者引诱到故意设有漏洞的系统,而蜜网“模拟”整个子网,具有更大规模。观察攻击者在这种严格受控的环境中的行动,就能推断出攻陷指标;攻陷指标既可用于检测异常,也可用于保护真实网络免受企图收集信息的活动。
预计,主动式对策能发展成为结合网络欺骗和移动目标防御的解决方案。在这种架构中,两种技术相辅相成:移动目标防御允许调整系统或网络,以增加其多样性和复杂性,而网络欺骗诱导对手采取耗费时间但毫无意义的行动,从而耗尽资源。
三、结论与展望
攻击侦察阶段是所有网络安全攻击的基础。目前的总体趋势是,智能设备、社交媒体和支持物联网的应用日趋发展,攻击者可以收集的信息量大大增加,同时还增加了抵达攻击目标的通信路径。可被侦察技术利用的潜在攻击面会越来越大。
在应对策略方面,防御者似乎比攻击者落后一步。为填补空白,对策应旨在:
● 加强培训和监测,考虑充分利用侧信道的威胁;
● 评估如何将公共信息源获得的情报纳入到主动应对策略;
● 增加对网络欺骗解决方案的利用,以对付社会工程攻击(比如员工发现诈骗企图时有意误导攻击者)和侧信道侦察(比如有意泄露不正确的信息);
● 设计一大批从设计上防止侦察的新服务,比如尽量减小寻址方案带来的影响、尽量少用物联网,以及尽量少暴露于Shodan等扫描服务面前;
● 更全面地重新考虑隐私概念,加入防范高级和恶意数据收集活动的机制。
