可逆性网络攻击与防御
寻龙千万看缠山,一重缠是一重关。攻防对抗有着悠久而形式多样的历史,在网络化的今日也进入了新的领域。网络安全威胁持续蔓延,并可以武器化被有组织的加速扩大,安全问题已经从个人上升到企业层面甚至国家层面。分析利用、调查取证、溯源归因、恢复加固件件都不是轻松的事情。
有一群穿着格子衫背着双肩包的年轻人,他们中不乏段子手、理论家、操作神,也有文艺青年。他们是普通的开发者,也是这场网络攻防对抗的主角,也会一起分享和探讨安全领域的前沿技术和发展趋势。
深澜深蓝(stxletto),在安全行业浸染十余年,多次参与响应网络高危漏洞、国家级会议网络安全保障,拥有丰富的从业经验。其致力于高级威胁识别与缓解方向,曾主导设计并实现了新一代安全产品重要模块,拥有多篇技术发明专利。
面对组织化、商业化、武器化的安全趋势,stxletto倡议应该尤其注意可逆性网络攻击及防御,提炼先进的模型思想,构建深度分层防御体系。在2018年10月某安全会议中,stxletto做了《可逆性网络攻击与防御》的主题分享,本主题在特朗普废止PPD-20并签署新的美国国家网络战略的时代背景下,从已经发生的网络攻击实际案例中揭示可逆性攻击的趋势、梳理总结网络攻击发起方式。以安全三要素为支点,介绍赛博空间的三类威胁,总结四种潜在的可逆性攻击形式及四大基础应用,最后结合经典的攻击链模型钻石模型,和安全从业者们共同解读一个实际案例中的深度分层体系防御方案。
背景
美国废除 PPD-20
图-12018年9月20日,美国总统特朗普签署新的国家网络战略。
这项政策这代替了前总统奥巴马2012年签署的“第20号总统政策指令”(Presidential Policy Directive 20,PPD-20)。“PPD-20”中要求,进攻型行动需要经过美国政府批准。主要目的是控制那些超出日常数字间谍活动或计算机利用行动。如果发起具有重大后果的行动,除了需跨机构小组同意,还需取得总统的批准。
美国新版国家网络战略
图-2三大特点
- 战略对手瞄准中俄;
- 战略布局立足构建体系;
- 战略目标侧重服务经济。
四大支柱
- 保护美国人民、美国国土和美国生活方式;
- 促进美国繁荣;
- 以实力维护和平;
- 提升美国影响力
从三个方面进行网络空间博弈
网络人才招录、网络武器研发、网络战力生成。
网络战略统领各项网络事务,显示新战略不局限于网络安全方向,必须服务于整体美国国家利益和战略目标 国防基础设施、商业数据、知识产权及公众隐私信息
传统制裁手段的缺点
2018年12月6日,华为CFO孟晚舟女士在加拿大转机时,被加拿大当局代表美国政府暂时扣留,美国正在寻求对孟晚舟女士的引渡,面临纽约东区未指明的指控。
2018年9月20日,美国宣布由于中国军方购买俄罗斯军火,违反了美国2017年颁布的全面制裁法。对中国中央军事委员会装备发展部及其部长李尚福中将实施制裁。
制裁本质上是公开的,如果它在实施后退缩,会导致主导者的额外声誉成本。
混合对抗
- 政治战
- 外交战
- 经济战
- 舆论战
- 心理战
- 法律战
- 传统战
- 网络战
网络战的优点
- 迅速
- 隐蔽
- 精确
- 可控
- 可逆
- 成本低
- 回报高
- 攻防兼备
全面网络战争的缺点
- 顾忌对手的网络报复手段
- 害怕由网络战引发常规战争
可逆性网络攻击
定义
可逆性网络攻击是指不以摧毁对方为目的,选用结果可逆的或攻击停止后可恢复对象功能的技术实现战术目标的对抗过程。
优点
- 影响可被缓解、减少和逆转;
- 可能以隐蔽的方式进行,使双方更灵活的进退。
缺点
被攻击者对系统失去信心,误判导致将其视为沉没成本。
趋势
传统攻击中,瘫痪敌方设施的唯一途径是物理性摧毁。使用网络战,你能使之瘫痪,但冲突过后,设施能恢复运行。
斯坦福大学的网络安全研究员Max Smeets表示:“战争行动就是棍棒加胡萝卜。虽然网络行动通常被认为可以惩罚或增加对手的成本,但是如果网络行动是可逆的,则可以增加“胡萝卜”效应,对一些敌人的可能行为做出奖励反应。 可逆性网络攻击类似于经济制裁,但更有效。
可逆性网络攻击的概念类似于勒索软件,当犯罪分子将数据作为“人质”索取“赎金”。可逆攻击性网络攻击的一个例子是加密对手的数据以强制改变敌人行为,然后在达成协议后解密该信息。
在未来,不可逆网络攻击可能会被解释为违反战争法规。
案例
2010 年美以攻击伊朗核电站
图-3通过U盘进入核电站内部网络的Stuxnet导致纳坦兹核设施大约五分之一离心机瘫痪。图中右侧显示器中的灰点表示离线的离心机,数量明显偏多。
2013 年伊朗黑客攻击纽约市鲍曼大坝控制系统
图-4鲍曼大坝位于纽约市以北不到20英里(合32公里)的地方,在2013年花费2百万美元修缮后,包含一个15英尺宽(1英尺=0.3048米),2.5英尺高的水闸,主要用于防洪,灌溉下游庄稼。
图-52013年伊朗黑客利用Google搜索技巧确定了纽约市鲍曼大坝控制系统的系统漏洞。由于鲍曼大道水坝正在修复,在当时处于离网状态,任何尝试远程操纵的操作都会失败。伊朗黑客试图接管的举动还是引起了美国调查人员的不安。
2015 年俄罗斯攻击乌克兰电网
2015年12月23日,乌克兰首都基辅部分地区和乌克兰西部的 140 万名居民断电数小时。电力系统是由发电、输电、变电、配电和用电连接成的统一整体,在整个电力系统中,几乎每个环节都依赖计算机技术的支撑,比如各级电网调度控制中心的计算机系统、变电站的计算机监控系统等。
图-6图-7
黑客通过邮件向电力公司员工发送了恶意的office文件,欺骗其下载了一款恶意软件“BlackEnergy”(黑暗力量)。该恶意软件最早可追溯到2007年,由俄罗斯地下黑客组织开发并广泛使用,包括用来“刺探”全球各国的电力公司。
当天,黑客攻击了约60座变电站。黑客首先操作恶意软件将电力公司的主控电脑与变电站断连,随后又在系统中植入病毒,让电脑全体瘫痪。与此同时,黑客还对电力公司的电话通讯进行了干扰,导致受到停电影响的居民无法和电力公司进行联系。
2016 年俄罗斯操作美国总统大选
图-8俄罗斯黑客渗透进民主党全国委员会的电子邮件服务器,还入侵了希拉里·克林顿(Hillary Clinton)的竞选团队主席约翰·D·波德斯塔(John D. Podesta)的私人电子邮件帐户。
没有证据表明来自俄罗斯或其他地方的黑客篡改了票数。俄罗斯“对选举采取黑客行动”,指的是某种比改变选票本身微妙得多的东西。
告诉你什么是已知的东西,什么不是;还有什么是事实,什么是错误的理解。
2018 年沙特阿拉伯记者失踪事件
图-9卡舒吉在10月2日进入沙特驻伊斯坦布尔领事馆之后失踪。土耳其官方声称,已经掌握了卡舒吉在领馆内被谋杀的视频和音频证据。
NSA历史事件
图-10网络漏洞流入
- 经济刺激,赏金计划;
- 文化吸引,名人堂+感谢信;
网络漏洞流出
瓦森纳协定(Wassenaar Arrangement,WA) 对漏洞、零日漏洞、入侵软件进行开发、测试、评估、产品化现在都受到了限制。如果没有获得许可就开始出口,有可能被视为非法行为。
攻击场景
攻击发起方式
图-11安全三要素
-
保密性(Confidentiality)
很多网络攻击都是从窃取或复制目标的个人信息开始的,包括各种各样的犯罪攻击活动,如信用卡欺诈、身份盗窃、或盗取比特币钱包。国家间谍也将保密性攻击作为其工作的重要部分,试图获取政治、军事或经济利益方面的机密信息 -
完整性(Integrity)
完整性攻击是为了破坏、损坏、摧毁信息或系统,以及依赖这些信息或系统的人。完整性攻击可以是小范围的篡改和破坏,也可以是大规模的对目标进行破坏。攻击者的范围可以从脚本小子到国家间谍组织。 -
可用性(Availability)
阻止目标访问数据是如今勒索软件和拒绝服务(DoS)攻击最常见的形式。勒索软件一般会加密目标设备的数据,并索要赎金进行解密。拒绝服务(DoS)攻击(通常以分布式拒绝服务攻击的形式)向目标发送大量的请求占用网络资源,使网络资源不可用。
网络空间的三类威胁
图-12探查、开采、利用
从别人的网络中窃取信息,这是当前最普遍、最现实的威胁
中断、扰乱、否定
通过僵尸网络、拒绝服务等手段,阻塞信道、占用服务器资源、毁坏数据和软件,使网络不能正常运转
摧毁、破坏、瘫痪
典型的硬杀伤,通常会引起有形的物理毁坏、经济损失乃至人员伤亡。
网络空间四类可逆性攻击
图-13锁定系统
使用仅由攻击者拥有的密钥加密来受害者的计算机操作系统以达到“锁定”效果
混淆数据:
使用难以破译的算法或可逆的数据操作以混淆受害者的数据
拦截信息:
拦截或扣留对受害者重要的关键信息,同时将其保存在备份中
拒绝服务:
欺骗受害者使得他们认为系统实际上是不可操作的。
网络空间四大基础应用
图-14APT攻击路径繁多载体多样
图-15防御方案
根域名服务器
图-16根域名服务器是互联网域名解析系统(DNS)中最高级别的域名服务器,负责返回顶级域的权威域名服务器地址。所有的域名解析操作都离不开它们,它们是互联网基础设施中的重要部分。根域名服务器地址的数量被限制为13个。
域名解析服务安全性改进
图-17DNS 安全扩展 (DNS Security Extensions, DNSSEC)
通过对数据进行数字“签名”来抵御DNS劫持攻击,从而确信数据有效。
为了从互联网中消除该攻击,必须在从根区域到最终域名(例如, www.h3c.com)的查找过程中的每一步部署该项技术。对根区域进行签名(在根区域部署 DNSSEC )是整个过程中的必要步骤。
该技术并不对数据进行加密,只是验证所访问的站点地址是否有效。
2015年6月23日国际互联网名称与数字地址分配机构(ICANN)正式对外发布雪人计划 (Yeti DNS Project)。
截至2017年11月27日,“雪人计划”已完成全球25台IPv6根服务器架设,其中中国部署4台。
关键基础设施
图-18暴露在 Internet 上的工控设备
图-19基础设施脆弱点
供应链
系统软硬件设备多种多样,来自系统内外、国内外的供应商,设备存在被预装恶意软件的风险,受攻击后,可能造成局部或系统性安全事故。
终端
终端设备或系统的运营主体繁多、应用场景复杂,这都增加了其被恶意渗透或监听、控制的风险。
通信网络
存在假冒终端、非授权人员非法接入、窃取信息的风险,导致通信网络设备运行异常或者中断。
应用系统
存在恶意病毒入侵的可能,导致服务异常或中断,甚至破坏应用系统的软硬件设备。
异构冗余
控制芯片、精密的数控机床和工业控制器行业无法自主可控的使用异构冗余保证安全可靠。
这种“异构冗余”系统的实质就是:在一堆不可靠的部件之上,构建出一个相对可靠的体系。
同一个生产流程,采用多套预备系统,分别采用不同国家的控制器,不同的操作系统、不同的软件逻辑。在这种情况下,机器的每一个动作都需要三套控制系统进行表决,如果有一套系统被攻击,给出异常的数据,那么它就会被表决踢出局。
即使出现极端的情况:三个系统都遭到攻击,产生的结果全不一致,此时会自动调用备用系统。备用系统可以是一套隐藏系统,平时处于静默状态。攻击者根本感觉不到这套备用系统的存在,从而无法预先进行攻击。
缺点: 投资巨大
可逆的 Satan 勒索软件
图-2020 个重要管控
图-21攻击链模型
图-22.png入侵分析钻石扩展模型
图-232013年塞尔吉奥 卡尔塔吉罗(Sergio Caltagirone)提出的入侵分析钻石模型
以受害者为中心的分析方法
图-24大多数组织,执行的网络上和主机内的检测和防御行为,属于以受害者为中心的方法。
使用攻击链与钻石模型复现分析攻击
图-25- 攻击者使用扫描技术发现一个受害者IP地址;
- 攻击者向受害者IP地址投递攻击载荷;
- 受害者设备触发攻击载荷;
- 攻击载荷连接C&C服务器;
- C&C服务器下发指令;
- 受害者设备被用于横向扫描;
- 受害者设备被当做跳板肉鸡向外投递攻击载荷。