网络空间是一个没有硝烟的战场,任何组织和机构在网络空间内都是渺小和脆弱的个体,网络攻击的来源无法确定,发起攻击的时间不可预见,要在这个战场中安稳生存实属不易。所幸的是,网络攻击的手段都是类似的,有规律可循的。
美国最大的军火商洛克希德马丁公司(Lockheed Martin)提出的“网络攻击链”( Cyber Kill Chain)模型,也被称为“网络杀伤链”模型,其描述了一次完整的网络攻击需要经历七个阶段,如图所示:
图1:“网络攻击链”模型
侦查目标(Reconnaissance):侦查目标,充分利用社会工程学了解目标网络。
制作工具(Weaponization):主要是指制作定向攻击工具,例如带有恶意代码的pdf文件或office文件。
传送工具(Delivery):输送攻击工具到目标系统上,常用的手法包括邮件的附件、网站(挂马)、U盘等。
触发工具(Exploitation):利用目标系统的应用或操作系统漏洞,在目标系统触发攻击工具运行。
安装木马(Installation):远程控制程序(特马)的安装,使得攻击者可以长期潜伏在目标系统中。
建立连接(Command and Control):与互联网控制器服务器建立一个C2信道。
执行攻击(Actions on Objectives):执行所需要得攻击行为,例如偷取信息、篡改信息等。
“网络攻击链”模型认为任何网络攻击都可以对应到上述七个步骤中,分析该模型每个步骤可能使用的攻击方法,可以为网络安全保障人员提供针对各个攻击环节的防护思路,建立精准、完整的网络安全防护体系,减少网络攻击给组织或机构带来的损失。
1.侦查目标(Reconnaissance)
在军事对抗中,情报是制定谋略的基础,一招制胜的前提。兵法有云,“知己知彼,百战不殆”,官渡之战中,曹军利用信息优势掌控战局,精准定位袁军的薄弱点,对乌巢粮仓发动奇袭,一举攻破要害,以少胜多。在网络战场中,入侵的第一步也是侦查目标,攻击者会从各种渠道收集入侵目标的信息,绘制目标画像和信息拓扑,寻找目标的弱点,制定入侵策略。
常见的目标侦查手段例举如下:
通过Googlehacking或爬虫工具收集目标暴露在互联网的敏感信息,如企业架构、员工邮箱、采购信息、泄密文件等;
通过Rayspace、Shodan、Fofa、Zoomeye等专业的网络空间资产探测工具收集目标的互联网资产信息,如在线设备、网站、应用系统及其使用的服务和组件等信息;
通过站长工具、爱站、微步在线等工具查询目标的whois信息,包括目标相关域名的IP以及所有者信息等;
通过Nmap、Ping、Dnsmap、Nslookup等工具,收集目标网络空间资产的状态信息、属性信息、关联信息等;
通过Github、GitLab、BitBucket等源代码托管平台,收集目标及其关联系统的源码信息;
利用社会工程学方法,通过客服电话、人员潜入、社工库查询等方式,获取目标相关信息。
攻击者收集目标信息的方法远不止上文所述,组织和机构面对来自多角度、多方式的信息侦查,可以通过以下防御措施降低安全风险:
不在公开网站暴露组织的敏感信息,利用互联网敏感信息检测工具,定期检测暴露在互联网的组织敏感信息并定期处理,收敛信息暴露面;
服务器配置加固,关闭不必要的端口和服务,网站错误回显避免暴露服务器信息,可以利用基线核查工具或漏洞扫描工具,定期对服务器安全性进行评估和加固;
网络边界部署WAF、入侵防御、防火墙等安全防护设备,有效抵御扫描器、网络爬虫等攻击;
部署蜜罐网络,混淆攻击者的侦测目标,主动识别黑客身份,对入侵者进行溯源打击。
目标侦查阶段的有力防护,可以在网络攻击的初始阶段拖延入侵进度,限制攻击者的攻击手段,增加攻击者的入侵成本,让攻击者知难而退。
2.制作工具(Weaponization)
“工欲善其事,必先利其器”。攻击者对目标侦查完毕后,会根据目标特点和入侵目的,组合“传统兵器”,定制“特种武器”,打造具有针对性的“武器库”,常见的“武器”例举以下几种:
利用Metasploit框架编写的攻击脚本;
EXP库中的漏洞利用工具;
僵尸程序、特洛伊木马、网络蠕虫等恶意程序;
利用社会工程学成果制作的钓鱼网站、弱口令库;
SQLMap、BurpSuite、中国菜刀、中国蚁剑、AWVS、WAPITI等常用攻击工具。
通常在一次具有针对性的攻击中,还可能会制作智能攻击脚本,通过调用工具集实现自动化攻打击,利用混淆、加壳、加密等技术制作变种恶意程序,利用AI技术Bypass动态检测,利用自学习攻击模型进行情报库污染等。面对各式各样的攻击工具,可以通过以下措施强化安全防线:
采用漏洞扫描工具,及时发现系统和应用中的漏洞,并采取修补或防护措施;
安装防毒墙、杀毒软件,对病毒传播进行定向防护;
利用网站监测工具对钓鱼网站进行定位打击;
开启WAF、防火墙等产品的攻击防护策略,阻断扫描、注入、拒绝服务、暴力破解等入侵行为。
断敌兵刃,可夺其志。针对攻击工具的定向防护,可以有效遏制攻击者的入侵,让攻击者无计可施。
3.传送工具(Delivery)
攻击者打造“武器库”后,将进行“武器”投放,特洛伊战争的故事非常经典,古希腊间谍诱骗特洛伊国王将大型木马雕像运往城中,隐藏在大型木马中的希腊军队在城中发动奇袭,一举攻破了特洛伊王国,这也是特洛伊木马命名的由来。同样,在网络空间中,攻破一个系统最有效的方式,就是将恶意代码传送至目标系统。
通常情况下,传送恶意代码的方式可以分为物理传输和网络传输。
物理传输
通过U盘、外设、硬盘等物理介质,将恶意代码输送至目标主机网络传输通过钓鱼邮件、挂马网站、即时通讯软件等方式诱导受害者下载恶意文件
表1 恶意代码传送方式
针对以上恶意代码的传送方式,可以通过以下措施进行防范:
安装主机防护软件,检测来源于物理介质的恶意代码传输;
部署网络边界防护产品,及时发现并阻断病毒和恶意程序的传输行为;
部署邮件安全网关产品,识别电子邮箱中的恶意文件和危险链接,有效防范来源于电子邮件的恶意攻击;
提高人员网络安全防护意识,具备基本的网络欺骗鉴别能力。
据相关报告统计,2019年全球19.8%的计算机至少检测到一次恶意软件类攻击;2020年垃圾邮件在电子邮件流量中占50.37%,共检测到184435643个恶意附件,反钓鱼软件阻止了434898635次诈骗网站访问。庞大的数据说明了恶意代码的网络传播行为尤为猖獗,全网计算机用户的网络安全防护意识仍待提高。
网友评论