網絡欺騙,教你如何把黑客玩弄於股掌之間

當你發現自己正在遭遇黑客攻擊,你是否想到佯裝被騙,將計就計來迷惑甚至反擊黑客?

這聽起來有些玄乎,但類似的事情居然在一千年之前就曾發生過。

赤壁之戰前夕,周瑜佯裝醉酒,故意讓曹操派來的間諜蔣幹盜走一封降書,讓曹操錯殺了曹瑁、張允兩位將領,不費一兵一卒就除掉了自己的眼中釘。這個“蔣幹盜書”的歷史典故如果發生在當今網絡攻防的環境下,情節可能是這樣:

引用曹氏集團派出黑客蔣幹成功滲透到競爭對手東吳集團內部,成功拿到東吳集團高管的郵箱權限。

根據郵件透露,曹氏集團的核心技術骨幹蔡瑁、張允曾多次和東吳集團通信,出賣核心技術資料。

情報傳回曹氏集團後,蔡、張二人很快被當做“內鬼”處理,被冤枉的二人心生怨恨,於是跳槽到東吳集團。而事實情況卻是,那封郵件是東吳集團的網絡高手周瑜偽造,故意放出來給攻擊者的 “蜜餌”。

周瑜發現黑客入侵後,沒有選擇一味的防禦,而是主動出擊設置陷阱將計就計,最終用很小的代價就挖到了對手的兩位核心技術骨幹。


【歷史典故的攻防分析(By arkteam)】

以上內容雖是雷鋒網(公眾號:雷鋒網)基於歷史典故的虛構,但事實上,在如今的商業甚至國家網絡安全層面的網絡攻防中,諸如此類的“防禦者詭計”,早已經被用得淋漓盡致,甚至已經發展成了一項專門的技術。

攻防中的網絡欺騙

最初,這些借刀殺人,以逸待勞的計謀,更多被用於進攻,比如:

引用水坑攻擊,黑客先攻破企業內網的一個普通站點,然後將受害者必須下載的文檔替換成了木馬,從而讓對方自投羅網,以逸待勞。

魚叉式釣魚,先搞定你的客户的電腦,然後用他的賬號給你髮帶木馬的郵件,借刀殺人。

除此之外,攻擊者還會利用各種各樣的人性弱點,進行社會工程學攻擊。

因為攻擊者總是處於主動、有利的位置,傳統的被動式防禦措施在如此攻勢下難免捉襟見肘,可一旦防禦者能採取網絡欺騙的策略,反向欺騙回去,情況則大不相同。

在 FIT 2017 互聯網安全創新大會上,Arkteam 安全團隊的劉潮歌進行了一場名為“防禦者的詭計”的主題演講,講述了在現如今網絡攻防當中,網絡防禦者如何通過將計就計的手段來迷惑、拖延甚至反擊對手。

在劉潮歌看來,與其把網絡欺騙作為一門技術,更不如稱之為一種應對策略。在APT 攻擊(高級持續性威脅)日益增多的環境下,一味的防守最終會束手無策,而網絡欺騙則打開了新的思路。

他認為,網絡欺騙相較於傳統的被動式防禦,是一種更為積極主動的防禦方式,它的優勢主要體現在三個方面:

引用1. 可以發現網絡攻擊:對於一個網絡攻擊,及時的發現它是非常重要的,而網絡欺騙可以幫助防禦者發現正在進行的攻擊,甚至是潛在的攻擊。

2.可以“黏住”網絡攻擊:通過迷惑攻擊者,達到消耗對方時間精力,從而為後續的防禦工作留下時間,或者迫使對方放棄此次攻擊。

3. 可以溯源和反制:通過欺騙來讓對方暴露自己的攻擊意圖和攻擊手段,最終可以溯源取證和採取反制措施。

網絡欺騙的關鍵技術有哪些?



提及網絡欺騙的具體技術手段,劉潮歌説,網絡欺騙的關鍵技術通常有四部分:蜜罐、蜜餌/蜜標/麪包屑、虛擬資產和影子服務。

1.蜜罐

蜜罐技術如今已經成為一項很常見的網絡防禦措施,顧名思義,蜜罐就是網絡防禦者精心佈置的“黑匣子”,專門用來引誘黑客攻擊的服務器。看似漏洞百出,實則盡在掌握,它的作用就是讓黑客入侵,藉此收集證據,同時隱藏真實的服務器地址。一台合格的蜜罐不僅擁有發現攻擊、產生警告、數據記錄、欺騙、協助調查的功能,在必要時還可以根據蜜罐收集的證據來起訴入侵者。


【蜜罐應用示意圖】

2.蜜餌/蜜標/麪包屑

這些方式和蜜罐技術類似,只是具體實施手法不同。蜜餌通常是佈置一些攻擊者可能感興趣的資源作為誘餌,比如某某作戰計劃、某某商業合同等等,平常狀態下,這些文件不會被打開,因此一旦發現這些這些文件被他人碰觸或打開,則基本可以斷定有人入侵,有必要仔細檢查一下內網的安全了。


【蜜餌應用示意圖】

蜜標同樣如此,很多人不知道的是,我們常用的 Word 文檔、PDF 文檔中其實可以植入一個URL地址,當攻擊者打開這個文件時,鏈接可以被自動打開,而且是以 HTTP 的形式打開,因此當攻擊者打開蜜標文件時,防禦者就可以藉機獲取他的IP地址、瀏覽器指紋等攻擊者的信息,從而溯源攻擊者。


【蜜標應用示意圖】

和蜜餌/蜜標相比,麪包屑更為主動,防禦者通過故意釋放出更多更零散的虛假信息,比如虛假的 Cookie 信息、虛假的瀏覽器記錄密碼、SSH 祕鑰、VPN 祕鑰等等,許多攻擊者拿到這些信息時,往往會以為自己撿到了寶貝,殊不知自己得到的是一劑“毒藥”,這些麪包屑會將攻擊者引誘至提前佈置好的蜜罐或影子服務當中,從而甕中捉鱉。

無論是蜜罐、蜜餌還是麪包屑,都是基於“誘餌”的思想,這些誘餌既可以是一些虛假的代碼註釋,可以是故意用來給攻擊者的虛假網站後台,可以是一條數據庫記錄,當有人用SQL注入來獲取這條記錄的時候,就相當於給你報警了。

劉潮歌強調,如果企業希望通過網絡欺騙來進行防禦,那麼不妨提前根據自身的網絡環境來了解,哪些東西可以真正作為誘餌。

3.影子服務

影子服務是由 ArkTeam 自己提出來的防禦方式,較傳統的蜜罐來説更具有迷惑性和實用性,但也更加複雜。所謂影子服務,就是一個和真實服務看起來一模一樣的網絡服務,不同的是,真實服務提供給用户,而影子服務提供給攻擊者。當有一些可疑流量過來時,可以先把它帶到影子服務器上進行監控分析,如果發現是攻擊者,則進行下一步監控、警報和記錄攻擊行為。



【影子服務應用示意圖】

4.虛擬資產

除了誘餌,防禦者還想到了為自己的重要資產找一些“替身”,這就是虛擬資產。在傳統的防禦狀態下,一個企業的內部網絡對於黑客來説並不會太複雜,只要突破內外網的圍牆式防禦就可以為所欲為,很快就能接觸到企業的重要資產,因此有人也將圍牆式的防禦比作是椰子,外表很堅固,裏面很美味。

但如果防禦者部署了大量虛擬資產,則可以讓攻擊者無法觸碰到真實資產,讓他好似進入迷宮找不到出口,一步步耗費時間精力,贏得更多反擊時間,甚至逼迫對方主動放棄攻擊。

從某種層面來説,影子服務也起到了類似的作用——“黏”住黑客。


【圖片來源:長亭科技】

網絡欺騙對防禦者越來越重要

雷鋒網注意到,劉潮歌在演講中多次強調一件事——網絡欺騙將逐漸在網絡攻防中扮演越來越重要的位置。他説,2014 年美國空軍發佈了一個研究報告(BAA-RIK-14-07), 指出要研究網絡欺騙技術,並在次年簽訂了兩份總值9800萬美元的合同,其中一份就是關於網絡欺騙技術的。美國軍方公開採購了這一合同,這在學術界或商業界都實屬罕見。


【美軍發佈網絡欺騙相關報告】

在商業應用方面,專業研究機構 Gartner 也在2015年7月發佈的報告中也指出,基於欺騙的安全防禦技術將會有很大的市場前景,並預測到2018年,將會有10%的單位使用欺騙工具或策略來對抗網絡攻擊。

甚至在學術界,網絡欺騙也逐漸得到重視,2016 年7月,Springer 出版了一本名為《Cyber Deception: Building the Scientific Foundation 》的書籍,書中集合了世界各地頂級網絡欺騙研究人員的最新研究,目的就是為網絡欺騙建立學科基礎。

雷鋒網編輯認為,世間萬事萬物,道理總是相通,有人説商場如戰場,有人説官場如戰場,也許在劉潮歌的眼中,網絡世界也是一片充滿謀略、爾虞我詐的戰場,而網絡欺騙技術和古代戰爭中的計謀也並不區別,策略還是那些策略,兵法還是兵法,只是實施的地點從一個戰場轉移到另一個戰場罷了。


雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知



資料來源:雷鋒網
作者/編輯:謝幺

如果喜歡我們的文章,請即分享到︰