大家好,我是ABC_123。在前期的文章《第90篇:美国APT的全球流量监听系统(Turmoil监听与Turbine涡轮)讲解与分析》中,我着重介绍了Turmoil全球监听系统与Turbine涡轮任务下发系统,实际上这两个组件只是美国NSA一个强大项目Turbulence(湍流)的一部分。本期我们介绍这个系统的另一个组件:TUTELAGE态势感知主动防御系统。可以理解为我们常见的态势感知系统,但是它增加了强大的主动防御及对攻击者的反制功能,有效地保障了美国国防部NIPRNet(非保密因特网协议路由器网)的网络安全。
**建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!**因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
Tutelage态势感知主动防御系统是美国Turbulence项目在反制攻击者方面的重要组成部分,同时该系统是美国国土安全局**“爱因斯坦-3”态势感知系统**的重要组成部分。从911事件发生时期开始研发,于2009年左右投入使用,美国NSA的研发团队花费10年之久,终于铸成这个强大的主动防御系统,它的主要任务就是保障美国国防部网络的安全。
传统基于流量分析、日志分析的防御办法时效性很差,通常只能在攻击者实施攻击行为成功之后才能发现和应对,而TUTELAGE系统解决了这个问题。TUTELAGE系统依托于XKEYSCORE、Quantum、PRISM、CyberRequest等情报检索系统或者情报窃听系统,通过SIGNIT(美国信号情报采集项目)查询及分析全球各地的威胁情报信息,主张在境外APT的战术制定阶段、武器研发阶段就发现攻击威胁,然后制定反制手段和检测策略,并将策略下发给美国国防部NIPRNet网络边界的TUTELAGE系统传感器(可以理解为探针),争取在攻击者实施攻击前就将威胁及时处置。即使攻击者成功入侵,TUTELAGE主动防御系统也可以通过内嵌的数据包处理器,干预攻击者的攻击行为,可以对双向数据包进行检测和替换、数据包阻断、修改C2指令、重定向攻击、延迟攻击,从而缓解攻击威胁,甚至将攻击者的电脑反制。
TUTELAGE应用部署在国防部(简称DoD)网络边界上,称为边界传感器(Boundary sensor)对来自因特网的信息进行监测,从而保护内部应用非安全性互联网协议路由(简称NIPR)的网络。上图展示了TUTELAGE系统的10个边界传感器所在位置,其中包括hickam美国空军基地、Beale美国空军基地、圣安东尼奥军事基地、诺福克海军基地、五角大楼(Pentagon)、日本横田美国空军基地等。
NIPRNet与SIPRNet是由美国国防部DoD管理的两个专用网络系统,分别用于处理不同级别的秘密信息,两个网络之间是物理隔离的。NIPRNET被称为非机密互联网协议路由器网络,属于非涉密网,用于传输非秘密信息,但一定程度仍然受到保护和监控。NIPRNET广泛用于美军的日常通信、行政工作和某些公共信息的发布。
SIPRNET被称为机密互联网协议路由器网络,属于涉密网,是一个加密的要求更加严格和安全的网络环境,专门用于处理涉及安全级别为机密和更高级别的信息。所有流量都经过加密,主要被用于传递战术、战略和情报信息,只有经过特殊授权的人员才能访问该网络。接入SIPRNet网络的计算机,电脑屏幕锁屏状态是红色界面的,会提示“This information system is accredited to process - SECRET - For authorized purposes only”,提示该信息系统只有授权用户才能使用。
如下图所示,在传统的网络攻击防御理念里,在攻击者入侵之后,流量设备、waf设备会产生告警,这时候应急响应人员会手工分析告警日志,然后溯源整个攻击流程,并编写报告及处理意见。这个周期会花费很长时间,往往已经严重滞后于攻击者的入侵行为时间,很可能攻击者已经以最快的速度取走了敏感数据,并清理了自身痕迹。
而美国NSA的理念与此不同,他们设计了非常复杂的一套全球情报监听系统,争取在攻击者的恶意软件研发设计阶段,甚至是攻击者战术制定阶段就能第一时间发现,然后制定相应的防护策略,以备在攻击者实施攻击时能够第一时间告警并进行阻断。这些威胁情报的来源之一就是SIGNAL信号情报项目、包括斯诺登所提到的棱镜门项目、TURMOIL项目、TURBINE项目等。
为了实现这个目的,美国NSA设计了TUTELAGE系统,并与美国NSA的现有的资源进行了整合。如下图所示,SIGINT信号情报系统发现攻击威胁之后,美国NSA的技术人员会研发和编写攻击特征及反制策略,并下发到TUTELAGE的边界传感器上,在攻击者入侵之时,这些传感器会通知TUTELAGE系统进行主动防御和攻击反制;根据需求,可以通过量子注入攻击及TURBINE项目对攻击者进行反打。
TUTELAGE系统通过与美国政府的SIGINT信号情报收集项目协作完成主动防御过程,它的工作流程大致分为以下7个步骤:
1 SIGINT信号情报收集。美国NSA的SIGINT信号情报收集项目在全球各地部署有情报收集节点,著名的“棱镜门”监听事件也与其有关。
2 发现境外攻击者的入侵意图。美国NSA通过各种分析工具如CYBERQUEST、XKEYSCORE(关键得分)、GNOMEVISION、POPQUIZ等,对海量情报数据进行处理从中发现针对美国的APT攻击情报。
3 行为特征提炼及反制策略编写。美国NSA的工作人员会对攻击者的攻击行为特征进行分析提炼,并编写攻击反制规则。
4 下发策略到TUTELAGE系统。美国NSA的工作人员会将攻击行为特征及攻击反制策略下发到美国国防部DoD的网络边界的TUTELAGE传感器上,并同时与合作部门(如政府部门)同步这些策略。
5 境外攻击者发动网络攻击。一段时间后攻击者开始发动网络攻击,TUTELAGE传感器发出警报。
6 TUTELAGE系统反制。TUTELAGE的边界传感器检测到网络攻击,并且进行了告警,通知TUTELAGE系统依据不同情况,通过不同的反制措施进行反制。
7 汇总攻击信息。将整个网络攻击情报反馈到SIGINT信号情报系统。
如下图所示,展示了Tutelage项目在检测到恶意流量和攻击后可以采取的遏制/反制措施,十分丰富。国外泄露的PPT展示了TUTELAGE系统的6种能力:
1 告警/提示:边界传感器发现攻击流量后产生告警,并将告警流量存储备份。
**2 重定向:**边界传感器发现攻击流量后,将恶意会话重定向到安全服务器。
**3 接管:**边界传感器发现攻击流量后,接管会话。
**4 阻断:**边界传感器发现攻击流量后,阻断会话。
**5 替换:**边界传感器发现攻击流量后,清洗流量内的恶意代码。
**6 延迟:**边界传感器发现攻击流量后,降低通信速率,破坏攻击效果。
1. 下篇文章会继续分享TUTELAGE的反制措施,包括结合酸狐狸攻击平台,对目标进行反打等。
2. X-KEYSCORE(关键得分)情报检索系统以及其它美国APT的情报分析系统,后续ABC_123会在后续花费大篇幅进行介绍。
3. Turbine(涡轮)、Turmoil(涡流)、TUTELAGE(主动防御)、Turbalence(湍流)等系统的其它功能,会继续介绍,敬请期待。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
