RSA 2018 深度解读:重新认知网络犯罪 颠覆你心中的安全攻防

在巨额利益的驱使下,网络犯罪始终气焰不灭,犯罪手段层出不穷,在这样的情况下网络攻防手段攻防难免显得有些捉襟见肘。而我们今天谈的这些可能会颠覆你之前的认知,重新去思考网络犯罪和安全攻防。

——前言

在美国当地时间4月17日上午,RSA的总裁Amit Yoran走上台开始了第一个议题的演讲,也为之后长达四天的数百个议题分享正式揭开了序幕。

“The Future Of Security”一个议题,让整个之前还有些喧闹的会场安静了不少,数千万人聚在这里的唯一目的不正是去谈论安全吗?而在飞速发展的当下,“未来”这个词的似乎正在被人类重新定义,未来有可能是明天,更有可能是当下。正如这次RSAC 2018的主题“Now Matters(现在很重要)”,如果说未来离我们已无限接近,那可以珍惜的唯有当下。

t015a99a25745ccedea

网络安全之所以被人们不断地强调重视,是因为互联网技术在我们生活中已是不可获取的一部分,而随之而来的就是网络犯罪的产生。玫瑰虽香但有刺,雪虽纯美但至寒,事物是有双面性的,反之,也正因网络犯罪手段的层出不穷才使人们愈发关注网络安全,使安全攻防技术不断进步。

本次RSAC 2018的议题中有许多谈论网络犯罪的,其中有两个很引人关注的议题:

1.进入利润网络:追踪网络犯罪收益 MASH-F01

Mike McGuire博士发表了一项为期九个月的开创性学术研究的结果,研究网络犯罪的收益何去何从。 这项研究调查了网络犯罪的典型起源,数量和种类; 这种收入的转移和转变成可以隐瞒或规避执法的方式; 以及此类收入的最终目的地和使用情况。

2.暗网如何影响我们的行业 TV-T05

我们都知道暗网(Dark Web)上充斥这各种非法活动,但行业领军人物很难掌握具体信息,无法从网络安全以及经济视角了解非法市场对各行各业的具体影响。本次演讲,德勤网络威胁情报经理Jason Rivera深入讨论了非法市场如何影响美国关键行业,以及在这种日益增长的安全威胁中,领导者应该考虑哪些因素。

针对这两个热点议题,我们邀请了360网络攻防实验室的负责人林伟,为我们深度解读“网络犯罪”这一热点方向。

暗网是什么

首先让我们从暗网说起,看看世界网络犯罪的现状。

暗网是什么?做个简单的比喻,暗网是个“一片漆黑的地下交易所”,这里很黑,以至于看不清买家和卖家的脸。

大多数“军火商”会在这里兜售很多武器(病毒、木马甚至一些0 day漏洞);

也有许多刀口舔血的“职业杀手”接一些悬赏单(雇佣黑客定向入侵某个邮箱或者facebook账号、或盗取个人隐私信息);

还有些“强盗”在四处叫卖他们刚抢来的宝贝(几十亿的大量泄密数据);

偶尔还会遇见些“盗墓贼”让你看看他新出土的好东西(个人护照、银行卡或者电话卡)

…..

对他们来说,这里看起来很安全,似乎是个不错的天堂。

在美国,暗网已经开始影响关键行业,例如2017年4月,影子经纪人(Shadow Brokers)公开了一大批NSA(美国国家安全局)“方程式组织”(Equation Group)使用的极具破坏力的黑客工具,这些武器曾在暗网上以4-5亿美金的价格公开售卖。其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具,任何人都可以使用NSA的黑客武器攻击别人电脑。

其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。而这一系列工具的公开,如同“潘多拉魔盒”被打开,随之而来的是各种利用漏洞制作的病毒(如之后的WannaCry)在全球肆虐。

这种核武级别的网络武器对于人类社会有着巨大的威胁。而在当下的中国,暗网也在悄无声息的影响着我们的互联网安全,在暗网上人们可以买到被实名认证的身份证、银行卡或者电话卡,以及一些用于网络攻击的工具或者木马。对于企业来说,企业的关键信息数据有可能被人买卖;而对于个人来讲,有可能自己的私密数据正在被别人买卖。

t010f6bf72f9f9aa066

如何应对暗网的非法交易

为什么在暗网上进行违法交易这么难被发现?这里首先要说一下暗网使违法交易变得安全而独有的网络设置。暗网所有的请求都是分散在多个服务器同时请求,也就是说你在通过暗网攻击某一个目标或者浏览某一个网站时,你的请求是通过数十个服务器去同时请求,例如我们打开一个页面需要加载200个文件,包括图片、静态页面、动态脚本等等,当你发起请求时,这些脚本将通过数十个ip去分散请求,并多次跳转链接,这样目标网站就无法追溯哪些请求是你发起的(当然这样会造成网页打开缓慢等问题)。而如果我们正常浏览网页,则是从一个IP直接发送请求,这个过程是透明的。因此,暗网的匿名、匿踪的特质使得大量的非法交易很难被追踪发现。

t0116bdb592751f5c58

由于暗网已经开始很严重的影响美国的关键行业以及网络秩序,美国政府针对暗网交易采取了很多有效的手段,与这些网络犯罪者们展开了一场斗智斗勇的较量。

1.美国政府的“钓鱼执法”

政府在暗网上首先打掉某些儿童色情网站从而建立政府的“钓鱼网站”,比方说儿童色情网站,当你等登陆浏览网站时,它能通过一定的技术手段定位到你是谁,具体定位的方法我们不得而知。登录暗网的人大多数都有问题,而且还登陆这种色情网站的人肯定动机不纯,所以这样“钓鱼执法”的成功率很高(美国的“钓鱼执法”钓的大多数是有问题的人,与我们理解的利用某种人性的弱点去引诱人们去犯罪不同)。
钓鱼执法的过程中自然会涉及到个人隐私,这算不算是侵犯个人隐私呢?美国有相应的法案,例如爱国者法案(在某种特定的情况下,美国政府是允许去查看公民的数据的;苹果和facebook都曾因为爱国者法案接受美国政府的勒令调查)暗网上的用户本身就是有恶意行为的公民,当你在暗网上浏览并下载色情网站视频时其实就已经构成了潜在犯罪,那就有必要进行进一步的搜查。

2.政府亲自参与暗网建设

之前我们提到在暗网上进行访问时,为了保护访问者的安全,你的请求是通过数十个服务器去同时请求,之后经过数次跳转最后转到受访页面的。而美国政府在暗网中部署了足够多的节点(提供服务器),相当于是参与了整个暗网的建设,例如有30%是美国政府建设的,凡是通过这些节点的访问用户都会被美国政府间监控。而这个请求是同一个时间点上的同一个事件,基于事件和事件内容我们就有很大的概率推断出真正的访问者。

3.人性的弱点

美国与多国联手破获了暗网上比较大的几个黑市,包括AlphaBay与Hansa(每日利润超过50万美元)。而这利用的正是利用人性中的惰性,美国政府首先在历史海量数据中找出了,在网站建立初期用于传播这个网站的互联网邮箱,而这个邮箱又指向了twitter上的某一个人,同时这个人经常在上面炫耀他奢华的生活。之后通过更具体的调查发现他的消费与他的收入并不对等,最终通过线下排查该twitter的拥有者在泰国当地登陆AlphaBay的后台,确认了这个人就是实际的控制者,以这种物理的方式成功找到了控制所有服务器的电脑,并一举打掉了暗网上这个巨大的交易市场。正是因为人性的弱点,也是因为虚拟世界与现实世界的巨大反差,使得AlphaBay创始人在锒铛入狱不久后便上吊自杀。

林伟看来,如果全球有连同协作机制或者国家有能力去监测自己本土的暗网服务器流量的话,那么就能通过暗网的流量特征判断出哪些服务器在参与暗网的流量,这个流量是一个受访问者还是中专节点,是可以分析出来的。例如前面提到的AlphaBay交易市场,它并不参与流量中转,它只是被访问,这样从流量的类型上就有可能去判断这是一个被访问网站,而且流量并不小。利用这些特征我们就能推断出在本土内是否有一个大的暗网网站,之后我们可以采取类似于线下排查的手段来查看设备上究竟运营着什么样的业务。这样的全球协作机制或者国家监测本土暗网服务器流量的方式很有可能是未来监测暗网的一种重要手段。

你所不知的网络犯罪“创造力”

大多数人认为巨额的利益是促使网络犯罪气焰不熄的核心原因,其实并不是,这只是一个诱因。为什么一个没有读过大学的农民可以诈骗法学教授几千万,这不仅是是“智商”的对抗,更是创造力的对抗,(“智商”并不是指学历,而是指对未知事物认知、判断并进行反应)。在巨额利益的诱导下,一个没有什么学历的农民利用“创造力”营造了一个前所未有的骗局进行网络诈骗。除此之外的例子还有很多,我们以勒索软件CTB-Locker为例去分析网络犯罪的“创造力”。

t01e760eb13f25c3cd6

勒索软件的背后其实是一个产品经理

  • 精准的受众定位

勒索软件CTB-Locker通过钓鱼邮件的方式进行传播,只发给了跨国大型企业的高管,年龄40-60岁之间,他们对于安全的理解能力很差,但电脑上的数据及其重要,而他们的电脑一旦被勒索,会有无数的安全公司或者信息安全部门为之买单。一旦装有勒索软件的钓鱼邮件发送,就有很大的概率使这样的人群中招,一旦中招就一定会付钱,而且是不惜代价的付钱。

  • 良好的用户体验

在勒索弹窗页面使用了至少7种语言供用户进行阅读,并按步骤完整讲述了用户应该如何快捷的去缴纳赎金。如果可以根据当前操作系统的语言去自动调整勒索病毒的界面语言,当然会更“贴心”了。

  • 完美的掌控用户心理

采用暗网作为安全的通信通道,用比特币作为安全的交易手段。勒索软件的制作者其实明白他们面对的对象其实并仅仅是这些中毒的高管,还有他们背后的信息安全人员。做过倒计时破解的人们都知道通常有两种办法,一种是把系统时间往前提,另一种是停止时间系统的正常计时,从而达到延长倒计时的效果。而当信息安全从业者真的去采取这两种手段时,倒计时会从96小时直接变为12小时,并出现新的提示,如果你不付款,你的信息将会永远消失。

这是因为在电脑被勒索的一瞬间,勒索软件已经开始了自身预置计时器的计时,一旦预置时间和系统时间有所异常,就会自动减少勒索者付款的时间。这不仅造成了被勒索者应对时间的减少,更会造成被勒索者的心理恐慌。

  • 一个合适的价格机制

勒索软件有一个很有意思的价格机制,以我们平时买机票为例,我们看好了一张机票,在犹豫是否购买,过了一段时间我们发现机票价格反而更贵了,促使我们抓紧购买。而勒索软件则恰恰相反,如果你迟迟不付款,比特币的价格反而会降低,而且这一价格机制并不是针对单个用户。当所有用户都不愿意付钱时,勒索软件会进行一个动态调价,而这个动态调价对于每台终端的调价比例还不一样,会根据不同区域进行价格调整。

网络攻防——未知攻,焉知防

通过对勒索软件的分析,我们不难看出网络犯罪中隐藏的巨大创造力。网络攻防——未知攻,焉知防。我们所做的防都是别人在进行过进攻后而去采取的防御手段,传统的安全人员难以想象网络犯罪者在巨额利益诱导下迸发出的巨大创造力,所以在攻防对抗上本身就有先天的创造力的缺失。

我们都知道在网络攻防中,没有攻不破的防御。但真正的黑客攻击思维可能很多人并不理解,林伟和我们分享了他自己亲身的攻防经历,一次他们20多位顶尖安全人员一同进攻某一目标却始终无果,在一个月后大家都有些丧气时,他们其中的一人却突然一夜之间搞定了,他们都很奇怪,事后询问才知道,他拿了5000大洋请这位管理员吃饭并塞了红包,管理员直接帮他在机房把服务器的硬盘下架,最后成功拷贝数据并植入后门。黑客作为攻击者在巨额利益的诱惑下,它所具有的创造力和防御者的创造力是完全不一样的。这不禁让人眼前一亮,这也正是一次次让防御者防不胜防的原因。

我们之前看待网络犯罪的视角大多从防御者的角度出发,去看有哪些容易被攻击的点;而如果我们转换到攻击者的视角去看网络犯罪,却震惊的发现在我们疲于应对各种网络攻击时,网络犯罪者已经站在了受害者的角度去考虑“用户体验”的问题了。无论是网络犯罪还是安全攻防 ,当我们变换视角去看待这个问题时,许多问题都会迎刃而解。

原文:https://www.anquanke.com/post/id/105197

上一篇:共享安全能力 协同威胁情报——盛邦安全在2018RSA大会发布共享抗DDoS 新产品

下一篇:iOS 信任劫持攻击导致 iPhone 易受远程入侵