今天是系列文章的第二部分。开放互联是互联网的设计初衷。在这样一个设计理念指导下,无需通过中心化的接入认证,任何人都可以自由的接入网络;借助代理跳板、加密隧道、多重转发等各种巧妙的技术手段,互联网更是为用户提供了多种多样的匿名保护机制。想简单地通过IP地址或访问记录追溯实际行为人,确实十分困难。于是便有专家提出,除非互联网架构进行升级重构,归因溯源网络恶意行为将是一个无法解决的技术难题。
这是真的么?今天的文章尝试给大家辨析。
有兴趣阅读本系列第一篇的,请点击链接
误区之二
互联网的开放互联属性使得归因溯源本质上困难而不可行
关于互联网,最著名的俗语莫过于那句“在互联网上,每人知道你是一条狗”。确实,网络空间提供了与现实社会空间相互隔离的机制,互联网的自由开放互联理念也给归因溯源带来了许多直接的挑战:IP地址并不与现实世界的人物或组织直接绑定;各种各样的代理、跳板、VPN等机制使得恶意行为者可以在物理上远隔千里的多地灵活跳转,难以追溯;不可逆的加密技术使得第三方难以获取传输的内容;以TOR为代表的匿名网络技术更是通过层层加密代理的方式试图彻底的藏匿信息的来源地址、对抗任何可能的地址溯源分析。这些都给网络归因溯源引入了许多技术上的难题,也带来了种种不便。这使得许多网络安全业内人士都普遍相信,网络空间的虚拟性导致了归因溯源问题具有极高的技术难度,甚至有专家认为除非互联网基础架构进行改造升级,否则技术上的困难会使得归因溯源成为无法解决的问题。
然而近十年以来的研究与应用实践已经逐步的证明,对网络恶意行为的归因溯源虽然存在种种技术障碍,但总体来说仍然取得了相当令人瞩目的成果,对遏制打击网络攻击行动形成了有效的支撑。这又是因为什么?
总结归纳十余年来在网络恶意行为归因溯源领域的各种成功案例,我们发现这些案例中一方面突出体现了归因溯源分析团队具备先进的网络安全技术基础,另一方面,这些成功的案例都可以说是充分运用了以恶意行为者为中心的分析方法论。
以恶意行为者为中心的分析方法论认为,归因分析人员面临的任务场景下,作为竞争博弈对手的恶意行为者是一切不确定性的根本来源;因此,以恶意行为者为中心进行分析,将证据材料转化为对恶意行为者行为模式的解释,以此描述恶意行为者特征,并基于这些特征挖掘获取新的证据材料、进一步对形成新的特征,最终当这些特征足够丰富、具备足够区分性时,归因溯源过程就可以形成关于恶意行为者身份的分析结论。笼统的来说,ThreatConnect等公司使用的钻石模型(Diamond Model)方法、洛克希德马丁公司提出的杀伤链(Kill Chain)分析方法都可以视作以恶意行为者为中心的分析方法论的一种实例。
在这样的分析方法论指引下,归因溯源问题不再是一个寻找物证的简单技术问题,而是一个攻击者与防御者之间围绕攻击行为特征的对抗问题:攻击者在实施恶意行为的过程中,会采取多种试图混淆其身份特征的混淆、误导、欺骗手段;而防御者就是要综合利用各种取证技术和资源,分析判断己方获得的证据材料,归纳攻击者行为特征,并最终积累形成关于恶意行为者身份的画像,为用户提供满足其需求层级的归因溯源分析报告。
在这样一个攻与防的对抗场景下,从单次对抗的情况看,防御方的归因溯源分析团队是处于劣势地位的,它每次能够收集的信息有限,且还时常受到攻击方的混淆、误导与欺骗;然而在长周期、持续性的重复博弈对抗中,由于防御方在每轮对抗中都能够收集信息积累特征,而作为攻击方的恶意行为者却难以利用同样的方式持续有效的实施误导欺骗,攻击方最终注定在这场长周期的对抗中落败。
**意图的暴露:**投入巨大的高级威胁行动必然基于更加巨大的利益目标的刺激,而这样的利益目标往往直接暴露了威胁行动的幕后背景与指使者。对攻击过程进行技术性的取证还原通常都能直接发现攻击最终实现的利益目标,从而暴露攻击的意图与可能的幕后指使者。以2016年美国大选中民主党全国委员会DNC遭攻击事件为例,攻击者在DNC被攻击事件中窃取到的大量邮件,又通过DCLeaks及WikiLeaks等渠道最后向公众公布,可以从中推断实施攻击的意图是通过公布这批邮件以影响民主党候选人的选情,因此攻击的幕后主导者极有可能是能够从民主党的败选中获得其期望的政治利益的人或组织。
**模式的重复:**攻击者虽然具备大量反侦察反跟踪的经验,但其行为模式必然符合人的本性,因此在多次不断重复的攻击行动中,必然会出于提高行动效率、沿用成功经验等原因使用相同或相似的攻击行动模式,从而给归因溯源团队提供跟踪的线索。入侵指标(Indicators of Compromise,IOC)就是典型的利用重复模式识别或追踪攻击者的一种方式,也是最简单常用的一种方式。除此之外,即便是攻击者构造钓鱼邮件时使用的措辞模式与语言习惯、攻击代码变量的命名方式、注释的使用风格等都可能成为识别攻击者的一种重复模式。另一类重要的模式重复是时间性的:在CrowdStrike对2016年DNC黑客攻击事件的分析中,归因溯源团队发现攻击者使用的黑客工具,其编译时间戳均集中在莫斯科当地时间的上午九点到下午五点之间,由于其他证据显示攻击者极有可能来自俄罗斯,这样的行为时间模式显示这些工具的开发者很有可能是以开发这些黑客工具为全职工作,而非自由职业黑客。当然,必须注意的是重复模式亦有可能是攻击者故意设计的欺骗误导信息,这需要归因溯源团队在对抗过程中推断甄别。
**人为的疏忽:**网络攻击行动往往具有较高的技术难度,同时又伴随着紧迫的任务时间要求,这就造成了攻击者团队经常处于高度的工作压力之下,因此,即便是经验丰富、组织严密、后勤保障条件优越的黑客团队也难免会在重压之下出现疏忽,导致意外留给归因溯源团队重要的分析线索。例如在实施扫描侦察过程中,原本使用了VPN跳板用于隐藏来源IP地址,但由于偶发的网络故障造成VPN中断,而扫描侦察并未停止,这就可能造成真实IP地址被暴露。在FireEye公司2015年对APT30的分析报告中指出,其获得了APT30组织所使用木马的远程控制图形界面工具。这份工具据信来源于APT30控制的中继跳板节点,黑客将这份工具上传到了中继节点的一个开放目录下,其目的可能是便于随时远程下载使用,而这样缺乏安全防护的行为使得FireEye团队通过分析这个工具获得了大量归因溯源线索。
这些正是以FireEye、CrowdStrike等公司为代表的系列归因溯源工作取得令人瞩目成就的关键原因:这些公司的归因溯源分析团队对主要的恶意行为者组织进行了持续的跟踪关注,随着攻击持续进行、防御者不断发现与丰富这些特征,从大量受害者网络中提取关于恶意行为者的线索,积累物证特征,结合不同来源获得的资料关联,在长期的攻防过程中建立起对高级威胁组织的特征档案。在这样一个逐渐积累的过程中,针对这些威胁组织的归因溯源就变得越来越简单而有成效了。
互联网的开放互联属性使得归因溯源本质上困难而不可行,这一错误认识,其根源是只单纯从技术层面看问题,而忽视了归因溯源问题的对抗本质。单纯从技术层面看,归因溯源的对抗中,恶意行为者确实具备较为显著的博弈优势,归因溯源难以成功;但考虑到非技术层面的因素,在长期、持续对抗的场景下,归因溯源团队通过不断积累恶意行为者的特征,最终是可以实现对恶意行为者的归因溯源的。这就如同美国电影里执法调查机构与连环杀手,虽然凶残狡诈的连环杀手总有种种手段隐藏自己的真实身份,但通过多起案件中拼接起来的线索,调查者们最终总能够还原出完整的拼图,将连环杀手绳之以法。
