在巨額利益的驅使下, 網路犯罪始終氣焰不滅, 犯罪手段層出不窮, 在這樣的情況下網路攻防手段攻防難免顯得有些捉襟見肘。 而我們今天談的這些可能會顛覆你之前的認知, 重新去思考網路犯罪和安全攻防。
——前言
在美國當地時間4月17日上午, RSA的總裁Amit Yoran走上台開始了第一個議題的演講, 也為之後長達四天的數百個議題分享正式揭開了序幕。
“The Future Of Security”一個議題, 讓整個之前還有些喧鬧的會場安靜了不少, 數千萬人聚在這裡的唯一目的不正是去談論安全嗎?而在飛速發展的當下, “未來”這個詞的似乎正在被人類重新定義,
網路安全之所以被人們不斷地強調重視, 是因為互聯網技術在我們生活中已是不可獲取的一部分,
本次RSAC 2018的議題中有許多談論網路犯罪的, 其中有兩個很引人關注的議題:
1.進入利潤網路:追蹤網路犯罪收益 MASH-F01
Mike McGuire博士發表了一項為期九個月的開創性學術研究的結果, 研究網路犯罪的收益何去何從。 這項研究調查了網路犯罪的典型起源, 數量和種類; 這種收入的轉移和轉變成可以隱瞞或規避執法的方式; 以及此類收入的最終目的地和使用情況。
2.暗網如何影響我們的行業 TV-T05
我們都知道暗網(Dark Web)上充斥這各種非法活動, 但行業領軍人物很難掌握具體資訊,
安全客獨家翻譯PPT下載連結:https://pan.baidu.com/s/1kY7v-y-fiLA9BthbNaZyWA 密碼:jezw
針對這兩個熱點議題, 我們邀請了360網路攻防實驗室的負責人林偉, 為我們深度解讀“網路犯罪”這一熱點方向。
安全客獨家邀請:林偉
暗網是什麼首先讓我們從暗網說起, 看看世界網路犯罪的現狀。
暗網是什麼?做個簡單的比喻, 暗網是個“一片漆黑的地下交易所”, 這裡很黑, 以至於看不清買家和賣家的臉。
大多數“軍火商”會在這裡兜售很多武器(病毒、木馬甚至一些0 day漏洞);
也有許多刀口舔血的“職業殺手”接一些懸賞單(雇傭駭客定向入侵某個郵箱或者facebook帳號、或盜取個人隱私資訊);
還有些“強盜”在四處叫賣他們剛搶來的寶貝(幾十億的大量洩密資料);
偶爾還會遇見些“盜墓賊”讓你看看他新出土的好東西(個人護照、銀行卡或者電話卡)
…..
對他們來說, 這裡看起來很安全, 似乎是個不錯的天堂。
在美國, 暗網已經開始影響關鍵行業, 例如2017年4月, 影子經紀人(Shadow Brokers)公開了一大批NSA(美國國家安全局)“方程式組織”(Equation Group)使用的極具破壞力的駭客工具, 這些武器曾在暗網上以4-5億美金的價格公開售賣。 其中包括可以遠端攻破全球約70%Windows機器的漏洞利用工具, 任何人都可以使用NSA的駭客武器攻擊別人電腦。
其中, 有十款工具最容易影響Windows個人用戶, 包括永恆之藍、永恆王者、永恆浪漫、永恆協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。 駭客無需任何操作, 只要聯網就可以入侵電腦, 就像衝擊波、震盪波等著名蠕蟲一樣可以瞬間血洗互聯網。 而這一系列工具的公開,如同“潘朵拉魔盒”被打開,隨之而來的是各種利用漏洞製作的病毒(如之後的WannaCry)在全球肆虐。
這種核武級別的網路武器對於人類社會有著巨大的威脅。而在當下的中國,暗網也在悄無聲息的影響著我們的互聯網安全,在暗網上人們可以買到被實名認證的身份證、銀行卡或者電話卡,以及一些用於網路攻擊的工具或者木馬。對於企業來說,企業的關鍵資訊資料有可能被人買賣;而對於個人來講,有可能自己的私密資料正在被別人買賣。
為什麼在暗網上進行違法交易這麼難被發現?這裡首先要說一下暗網使違法交易變得安全而獨有的網路設置。暗網所有的請求都是分散在多個伺服器同時請求,也就是說你在通過暗網攻擊某一個目標或者流覽某一個網站時,你的請求是通過數十個伺服器去同時請求,例如我們打開一個頁面需要載入200個檔,包括圖片、靜態頁面、動態腳本等等,當你發起請求時,這些腳本將通過數十個ip去分散請求,並多次跳轉連結,這樣目標網站就無法追溯哪些請求是你發起的(當然這樣會造成網頁打開緩慢等問題)。而如果我們正常流覽網頁,則是從一個IP直接發送請求,這個過程是透明的。因此,暗網的匿名、匿蹤的特質使得大量的非法交易很難被追蹤發現。
由於暗網已經開始很嚴重的影響美國的關鍵行業以及網路秩序,美國政府針對暗網交易採取了很多有效的手段,與這些網路犯罪者們展開了一場鬥智鬥勇的較量。
1.美國政府的“釣魚執法”
政府在暗網上首先打掉某些兒童色情網站從而建立政府的“釣魚網站”,比方說兒童色情網站,當你等登陸流覽網站時,它能通過一定的技術手段定位到你是誰,具體定位的方法我們不得而知。登錄暗網的人大多數都有問題,而且還登陸這種色情網站的人肯定動機不純,所以這樣“釣魚執法”的成功率很高(美國的“釣魚執法”釣的大多數是有問題的人,與我們理解的利用某種人性的弱點去引誘人們去犯罪不同)。
釣魚執法的過程中自然會涉及到個人隱私,這算不算是侵犯個人隱私呢?美國有相應的法案,例如愛國者法案(在某種特定的情況下,美國政府是允許去查看公民的資料的;蘋果和facebook都曾因為愛國者法案接受美國政府的勒令調查)暗網上的用戶本身就是有惡意行為的公民,當你在暗網上流覽並下載色情網站視頻時其實就已經構成了潛在犯罪,那就有必要進行進一步的搜查。
2.政府親自參與暗網建設
之前我們提到在暗網上進行訪問時,為了保護訪問者的安全,你的請求是通過數十個伺服器去同時請求,之後經過數次跳轉最後轉到受訪頁面的。而美國政府在暗網中部署了足夠多的節點(提供伺服器),相當於是參與了整個暗網的建設,例如有30%是美國政府建設的,凡是通過這些節點的訪問使用者都會被美國政府間監控。而這個請求是同一個時間點上的同一個事件,基於事件和事件內容我們就有很大的概率推斷出真正的訪問者。
3.人性的弱點
美國與多國聯手破獲了暗網上比較大的幾個黑市,包括AlphaBay與Hansa(每日利潤超過50萬美元)。而這利用的正是利用人性中的惰性,美國政府首先在歷史海量資料中找出了,在網站建立初期用於傳播這個網站的互聯網郵箱,而這個郵箱又指向了twitter上的某一個人,同時這個人經常在上面炫耀他奢華的生活。之後通過更具體的調查發現他的消費與他的收入並不對等,最終通過線下排查該twitter的擁有者在泰國當地登陸AlphaBay的後臺,確認了這個人就是實際的控制者,以這種物理的方式成功找到了控制所有伺服器的電腦,並一舉打掉了暗網上這個巨大的交易市場。正是因為人性的弱點,也是因為虛擬世界與現實世界的巨大反差,使得AlphaBay創始人在鋃鐺入獄不久後便上吊自殺。
林偉看來,如果全球有連同協作機制或者國家有能力去監測自己本土的暗網伺服器流量的話,那麼就能通過暗網的流量特徵判斷出哪些伺服器在參與暗網的流量,這個流量是一個受訪問者還是中專節點,是可以分析出來的。例如前面提到的AlphaBay交易市場,它並不參與流量中轉,它只是被訪問,這樣從流量的類型上就有可能去判斷這是一個被訪問網站,而且流量並不小。利用這些特徵我們就能推斷出在本土內是否有一個大的暗網網站,之後我們可以採取類似於線下排查的手段來查看設備上究竟運營著什麼樣的業務。這樣的全球協作機制或者國家監測本土暗網伺服器流量的方式很有可能是未來監測暗網的一種重要手段。
你所不知的網路犯罪“創造力”大多數人認為巨額的利益是促使網路犯罪氣焰不熄的核心原因,其實並不是,這只是一個誘因。為什麼一個沒有讀過大學的農民可以詐騙法學教授幾千萬,這不僅是是“智商”的對抗,更是創造力的對抗,(“智商”並不是指學歷,而是指對未知事物認知、判斷並進行反應)。在巨額利益的誘導下,一個沒有什麼學歷的農民利用“創造力”營造了一個前所未有的騙局進行網路詐騙。除此之外的例子還有很多,我們以勒索軟體CTB-Locker為例去分析網路犯罪的“創造力”。
精准的受眾定位
勒索軟體CTB-Locker通過釣魚郵件的方式進行傳播,只發給了跨國大型企業的高管,年齡40-60歲之間,他們對於安全的理解能力很差,但電腦上的資料及其重要,而他們的電腦一旦被勒索,會有無數的安全公司或者資訊安全部門為之買單。一旦裝有勒索軟體的釣魚郵件發送,就有很大的概率使這樣的人群中招,一旦中招就一定會付錢,而且是不惜代價的付錢。
良好的用戶體驗
在勒索彈窗頁面使用了至少7種語言供使用者進行閱讀,並按步驟完整講述了使用者應該如何快捷的去繳納贖金。如果可以根據當前作業系統的語言去自動調整勒索病毒的介面語言,當然會更“貼心”了。
完美的掌控用戶心理
採用暗網作為安全的通信通道,用比特幣作為安全的交易手段。勒索軟體的製作者其實明白他們面對的對象其實並僅僅是這些中毒的高管,還有他們背後的資訊安全人員。做過倒計時破解的人們都知道通常有兩種辦法,一種是把系統時間往前提,另一種是停止時間系統的正常計時,從而達到延長倒計時的效果。而當資訊安全從業者真的去採取這兩種手段時,倒計時會從96小時直接變為12小時,並出現新的提示,如果你不付款,你的資訊將會永遠消失。
這是因為在電腦被勒索的一瞬間,勒索軟體已經開始了自身預置計時器的計時,一旦預置時間和系統時間有所異常,就會自動減少勒索者付款的時間。這不僅造成了被勒索者應對時間的減少,更會造成被勒索者的心理恐慌。
一個合適的價格機制
通過對勒索軟體的分析,我們不難看出網路犯罪中隱藏的巨大創造力。網路攻防——未知攻,焉知防。我們所做的防都是別人在進行過進攻後而去採取的防禦手段,傳統的安全人員難以想像網路犯罪者在巨額利益誘導下迸發出的巨大創造力,所以在攻防對抗上本身就有先天的創造力的缺失。
我們都知道在網路攻防中,沒有攻不破的防禦。但真正的駭客攻擊思維可能很多人並不理解,林偉和我們分享了他自己親身的攻防經歷,一次他們20多位頂尖安全人員一同進攻某一目標卻始終無果,在一個月後大家都有些喪氣時,他們其中的一人卻突然一夜之間搞定了,他們都很奇怪,事後詢問才知道,他拿了5000大洋請這位管理員吃飯並塞了紅包,管理員直接幫他在機房把伺服器的硬碟下架,最後成功拷貝資料並植入後門。駭客作為攻擊者在巨額利益的誘惑下,它所具有的創造力和防禦者的創造力是完全不一樣的。這不禁讓人眼前一亮,這也正是一次次讓防禦者防不勝防的原因。
我們之前看待網路犯罪的視角大多從防禦者的角度出發,去看有哪些容易被攻擊的點;而如果我們轉換到攻擊者的視角去看網路犯罪,卻震驚的發現在我們疲於應對各種網路攻擊時,網路犯罪者已經站在了受害者的角度去考慮“用戶體驗”的問題了。無論是網路犯罪還是安全攻防 ,當我們變換視角去看待這個問題時,許多問題都會迎刃而解。
登錄安全客 - 有思想的安全新媒體www.anquanke.com/,或下載安全客APP來獲取更多最新資訊吧~
而這一系列工具的公開,如同“潘朵拉魔盒”被打開,隨之而來的是各種利用漏洞製作的病毒(如之後的WannaCry)在全球肆虐。這種核武級別的網路武器對於人類社會有著巨大的威脅。而在當下的中國,暗網也在悄無聲息的影響著我們的互聯網安全,在暗網上人們可以買到被實名認證的身份證、銀行卡或者電話卡,以及一些用於網路攻擊的工具或者木馬。對於企業來說,企業的關鍵資訊資料有可能被人買賣;而對於個人來講,有可能自己的私密資料正在被別人買賣。
為什麼在暗網上進行違法交易這麼難被發現?這裡首先要說一下暗網使違法交易變得安全而獨有的網路設置。暗網所有的請求都是分散在多個伺服器同時請求,也就是說你在通過暗網攻擊某一個目標或者流覽某一個網站時,你的請求是通過數十個伺服器去同時請求,例如我們打開一個頁面需要載入200個檔,包括圖片、靜態頁面、動態腳本等等,當你發起請求時,這些腳本將通過數十個ip去分散請求,並多次跳轉連結,這樣目標網站就無法追溯哪些請求是你發起的(當然這樣會造成網頁打開緩慢等問題)。而如果我們正常流覽網頁,則是從一個IP直接發送請求,這個過程是透明的。因此,暗網的匿名、匿蹤的特質使得大量的非法交易很難被追蹤發現。
由於暗網已經開始很嚴重的影響美國的關鍵行業以及網路秩序,美國政府針對暗網交易採取了很多有效的手段,與這些網路犯罪者們展開了一場鬥智鬥勇的較量。
1.美國政府的“釣魚執法”
政府在暗網上首先打掉某些兒童色情網站從而建立政府的“釣魚網站”,比方說兒童色情網站,當你等登陸流覽網站時,它能通過一定的技術手段定位到你是誰,具體定位的方法我們不得而知。登錄暗網的人大多數都有問題,而且還登陸這種色情網站的人肯定動機不純,所以這樣“釣魚執法”的成功率很高(美國的“釣魚執法”釣的大多數是有問題的人,與我們理解的利用某種人性的弱點去引誘人們去犯罪不同)。
釣魚執法的過程中自然會涉及到個人隱私,這算不算是侵犯個人隱私呢?美國有相應的法案,例如愛國者法案(在某種特定的情況下,美國政府是允許去查看公民的資料的;蘋果和facebook都曾因為愛國者法案接受美國政府的勒令調查)暗網上的用戶本身就是有惡意行為的公民,當你在暗網上流覽並下載色情網站視頻時其實就已經構成了潛在犯罪,那就有必要進行進一步的搜查。
2.政府親自參與暗網建設
之前我們提到在暗網上進行訪問時,為了保護訪問者的安全,你的請求是通過數十個伺服器去同時請求,之後經過數次跳轉最後轉到受訪頁面的。而美國政府在暗網中部署了足夠多的節點(提供伺服器),相當於是參與了整個暗網的建設,例如有30%是美國政府建設的,凡是通過這些節點的訪問使用者都會被美國政府間監控。而這個請求是同一個時間點上的同一個事件,基於事件和事件內容我們就有很大的概率推斷出真正的訪問者。
3.人性的弱點
美國與多國聯手破獲了暗網上比較大的幾個黑市,包括AlphaBay與Hansa(每日利潤超過50萬美元)。而這利用的正是利用人性中的惰性,美國政府首先在歷史海量資料中找出了,在網站建立初期用於傳播這個網站的互聯網郵箱,而這個郵箱又指向了twitter上的某一個人,同時這個人經常在上面炫耀他奢華的生活。之後通過更具體的調查發現他的消費與他的收入並不對等,最終通過線下排查該twitter的擁有者在泰國當地登陸AlphaBay的後臺,確認了這個人就是實際的控制者,以這種物理的方式成功找到了控制所有伺服器的電腦,並一舉打掉了暗網上這個巨大的交易市場。正是因為人性的弱點,也是因為虛擬世界與現實世界的巨大反差,使得AlphaBay創始人在鋃鐺入獄不久後便上吊自殺。
林偉看來,如果全球有連同協作機制或者國家有能力去監測自己本土的暗網伺服器流量的話,那麼就能通過暗網的流量特徵判斷出哪些伺服器在參與暗網的流量,這個流量是一個受訪問者還是中專節點,是可以分析出來的。例如前面提到的AlphaBay交易市場,它並不參與流量中轉,它只是被訪問,這樣從流量的類型上就有可能去判斷這是一個被訪問網站,而且流量並不小。利用這些特徵我們就能推斷出在本土內是否有一個大的暗網網站,之後我們可以採取類似於線下排查的手段來查看設備上究竟運營著什麼樣的業務。這樣的全球協作機制或者國家監測本土暗網伺服器流量的方式很有可能是未來監測暗網的一種重要手段。
你所不知的網路犯罪“創造力”大多數人認為巨額的利益是促使網路犯罪氣焰不熄的核心原因,其實並不是,這只是一個誘因。為什麼一個沒有讀過大學的農民可以詐騙法學教授幾千萬,這不僅是是“智商”的對抗,更是創造力的對抗,(“智商”並不是指學歷,而是指對未知事物認知、判斷並進行反應)。在巨額利益的誘導下,一個沒有什麼學歷的農民利用“創造力”營造了一個前所未有的騙局進行網路詐騙。除此之外的例子還有很多,我們以勒索軟體CTB-Locker為例去分析網路犯罪的“創造力”。
精准的受眾定位
勒索軟體CTB-Locker通過釣魚郵件的方式進行傳播,只發給了跨國大型企業的高管,年齡40-60歲之間,他們對於安全的理解能力很差,但電腦上的資料及其重要,而他們的電腦一旦被勒索,會有無數的安全公司或者資訊安全部門為之買單。一旦裝有勒索軟體的釣魚郵件發送,就有很大的概率使這樣的人群中招,一旦中招就一定會付錢,而且是不惜代價的付錢。
良好的用戶體驗
在勒索彈窗頁面使用了至少7種語言供使用者進行閱讀,並按步驟完整講述了使用者應該如何快捷的去繳納贖金。如果可以根據當前作業系統的語言去自動調整勒索病毒的介面語言,當然會更“貼心”了。
完美的掌控用戶心理
採用暗網作為安全的通信通道,用比特幣作為安全的交易手段。勒索軟體的製作者其實明白他們面對的對象其實並僅僅是這些中毒的高管,還有他們背後的資訊安全人員。做過倒計時破解的人們都知道通常有兩種辦法,一種是把系統時間往前提,另一種是停止時間系統的正常計時,從而達到延長倒計時的效果。而當資訊安全從業者真的去採取這兩種手段時,倒計時會從96小時直接變為12小時,並出現新的提示,如果你不付款,你的資訊將會永遠消失。
這是因為在電腦被勒索的一瞬間,勒索軟體已經開始了自身預置計時器的計時,一旦預置時間和系統時間有所異常,就會自動減少勒索者付款的時間。這不僅造成了被勒索者應對時間的減少,更會造成被勒索者的心理恐慌。
一個合適的價格機制
通過對勒索軟體的分析,我們不難看出網路犯罪中隱藏的巨大創造力。網路攻防——未知攻,焉知防。我們所做的防都是別人在進行過進攻後而去採取的防禦手段,傳統的安全人員難以想像網路犯罪者在巨額利益誘導下迸發出的巨大創造力,所以在攻防對抗上本身就有先天的創造力的缺失。
我們都知道在網路攻防中,沒有攻不破的防禦。但真正的駭客攻擊思維可能很多人並不理解,林偉和我們分享了他自己親身的攻防經歷,一次他們20多位頂尖安全人員一同進攻某一目標卻始終無果,在一個月後大家都有些喪氣時,他們其中的一人卻突然一夜之間搞定了,他們都很奇怪,事後詢問才知道,他拿了5000大洋請這位管理員吃飯並塞了紅包,管理員直接幫他在機房把伺服器的硬碟下架,最後成功拷貝資料並植入後門。駭客作為攻擊者在巨額利益的誘惑下,它所具有的創造力和防禦者的創造力是完全不一樣的。這不禁讓人眼前一亮,這也正是一次次讓防禦者防不勝防的原因。
我們之前看待網路犯罪的視角大多從防禦者的角度出發,去看有哪些容易被攻擊的點;而如果我們轉換到攻擊者的視角去看網路犯罪,卻震驚的發現在我們疲於應對各種網路攻擊時,網路犯罪者已經站在了受害者的角度去考慮“用戶體驗”的問題了。無論是網路犯罪還是安全攻防 ,當我們變換視角去看待這個問題時,許多問題都會迎刃而解。
登錄安全客 - 有思想的安全新媒體www.anquanke.com/,或下載安全客APP來獲取更多最新資訊吧~