黑客獲取動態數據以備有效的隱形攻擊
一般來講,黑客執行下一步的網絡攻擊都需要非靜態數據,而進攻取證是一種捕獲這種非靜態數據的黑客攻擊技術”,計算機取證和電子搜索公司LLC伯克利分校研究小組的首席研究員Joe Sremack表示。
在進攻取證過程中,黑客捕捉內存中的非靜態數據用以獲取密碼、加密密鑰以及活躍網絡會話數據,這些都可以幫助他們不受任何限制地訪問寶貴數據資源。
為了說明這一點,舉一個進攻取證攻擊的簡單例子。進攻取證攻擊過成功中黑客會捕捉Windows剪貼板,這是一個不夠精明的企業網絡用戶經常復制和粘貼安全密碼的地方。黑客通常利用Flash的漏洞來展開這種類型的攻擊。
“黑客往往利用瀏覽器中的Flash插件結合較弱的甚至錯誤的配置來讀取瀏覽器的完整信息,包括內存中的密碼,”Sremack說。
安全意識是擊敗進攻取證的第一步技巧和戰術,及時的行動是第二步。
目的和手段
黑客使用進攻取證獲取憑證,如用戶名和密碼。這些都允許他們訪問敏感數據同時能夠隱瞞自己的身份,以拖延攻擊時被發現的時間并避免暴露自己的行蹤。
“他們還想延長時間,以便于其在被發現之前有充足的時間去訪問系統和目標數據,從而增加其犯罪所得,” 安全和風險管理公司Neohapsis的首席安全顧問Scott Hazdra說。
黑客尋找這種以半永久記憶的形式存在如RAM內存或交換文件中的動態/非靜態數據。
“Windows臨時文件、Windows或Mac的剪貼板、從一個Telnet或FTP應用程序中未加密的登錄數據,和web瀏覽器緩存等都是非靜態數據目標,”Sremack說。
一旦黑客獲得暫時存儲在明文中的用戶ID和密碼,他們就可以進入下一個等級的訪問,進一步獲取資源,如內部網站、文檔管理系統和SharePoint站點,Sremack解釋道。
“這基本上是一個黑客必須使用鍵盤記錄器才能夠檢索到的信息的途徑,但沒有鍵盤記錄器,”Sremack說。
這對于黑客來說極為重要,因為反病毒和反惡意軟件工具可以檢測并移除鍵盤記錄。黑客們則運行其他的各種工具,比如查看剪貼板、注冊表或者電腦用明文存儲這些數據的任何工具。
這些工具,為黑客實時進行這些進攻時成為一件免費的福利,并且極容易接入互聯網。雖然Linux上有工具,但是通常犯這種典型錯誤(以明文將密碼儲存在剪貼板)的人使在工作站的終端使用者進行攻擊取證成為可能,而這些使用者通常運行Windows和Mac操作系統。
一些黑客使用特定的工具包括腳本工具作為取證的利器。
“還有大范圍用于此用途的各樣其他工具,包括免費的和高價的,比如FTK成像儀、RedLine、Volatility, CAINE, 和HELIX3 ”,Hazdra說。
企業響應
“進攻取證很難計數,因為攻擊目標機器中的文件可能是安全的,而且傳統標準也將宣布系統是安全的,但是入侵者卻能夠訪問機器并能捕捉內存,”Sremack說。
對付進攻取證的方法包括運行能夠掩藏和保護內存數據的安全功能。這些類型的應用程序包括KeePass和KeeScrambler。KeePass是一個加密的剪貼板工具,能夠自動清除剪貼板歷史;KeeScrambler則加密瀏覽歷史。
“每當用戶將字母鍵入瀏覽器,系統就會加密以防止黑客讀取儲存在內存中的數據,”Sremack解釋道。目前有免費版的KeeScrambler;同樣能對付鍵盤記錄程序的還有付費版本。
最佳實踐要求一個企業網絡用戶必須在一個特定的機器上登陸進行系統活動,這樣一來,黑客就更難以消除自己的行蹤。此外,企業應該使用文件系統可僅標記文件為“附錄”的特性(不會刪除或覆蓋現有的數據),這樣即使是那臺特定機器的系統管理員都無權刪除所寫,除非機器進入離線維護模式,Lancope的首席技術官TK Keanini這樣解釋道。
放眼大局來看,企業必須做足充分準備,以針對進攻取證襲擊作出有效的事件響應。一個企業應該從三個等級做好救援事件響應準備,Keanini說,每一個等級需要添加一個維度來補充上一個等級力所不及的。
“即使攻擊者可以規避其中的一個等級,他們還是終將暴露在其他等級中,“Keanini說。
第一個等級是端點遙測。每個端點應該有一些負責操作整個設備的系統級程序。
“雖然你永遠不能做到100%的準確率,然而百分之零的準確率是絕對不可接受的,”Keanini說。
第二個等級是網關和接入點遙測。在網絡的入口和出口上,一些技術應該記錄入站和出站連接。這將為網絡互聯提供檢測和網絡取證的依據。
第三個等級是基礎設施遙測。
“所有的網絡基礎設施應該展示未取樣的Netflow/IPFIX(流量分析 /互聯網協議流信息輸出),”Keanini認為,IT安全利用跟蹤所有元數據水平下網絡流量的工具來收集這些數據集。
“這個數據集作為網絡的總帳目,能夠提供給你網絡中最完整的活動列表,”Keanini說。
如果一個企業用三個等級的遙測技術來武裝其自身安全,幾乎沒有任何攻擊或者攻擊者可以找到藏身之處。
Keanini認為,“更重要的是,當黑客進行某種形式的數據挖掘時,在執行其他階段的攻擊時其仍然要想方設法地去掩藏自己。”
在運營階段,企業可以發現具備這些遙測水平的攻擊者,并在黑客完成進攻目標之前做出相應部署。
企業需要時刻留意進攻取證,它像其他攻擊技術一樣將持續發展進化。進行網絡犯罪的黑客將使用一切可能的工具來完成網絡進攻,即使該工具本身是良性的,網絡黑客也會背離其設計者的初衷而在犯罪過程中歪曲地使用它。
首席安全官和首席信息安全官們需要不斷對其IT團隊和安全團隊進行技術培訓,來讓他們知曉當前的最新威脅及破解途徑。大多數IT安全團隊最終還是需要最新的工具來檢測進攻取證攻擊的,Hazdra說。
高價值資產需要最先進的保護模式,以便安全團隊能夠檢測威脅并防止黑客利用取證工具竊取企業數據,Hazdra認為。
“未經授權使用這些工具的情況很可能發生于大多數企業和組織網絡管理的盲區。因為管理員會監控包括網絡流量、文件完整性、入侵檢測和未經授權的訪問嘗試等在內的行為,卻沒有適當的工具來檢測系統上執行內存轉儲的人或者其安全團隊是否在使用進攻取證工具,”Hazdra解釋道。
