【51CTO.com 精彩翻譯】執(zhí)法部門對于網(wǎng)絡(luò)攻擊表示不滿，但出席黑帽大會的幾位發(fā)言人主張利用攻擊工具和僵尸網(wǎng)絡(luò)存在的漏洞，對攻擊者予以還擊。報(bào)復(fù)性攻擊應(yīng)該成為大企業(yè)IT部門用來對付網(wǎng)絡(luò)攻擊的另一種安全工具嗎？

這是個頗有爭議的想法，執(zhí)法部門對于網(wǎng)絡(luò)攻擊通常表示不滿；但是近日在美國首都華盛頓舉辦的黑帽大會上，幾位發(fā)言人探討了這個話題：敵人顯然在利用攻擊工具闖入企業(yè)網(wǎng)絡(luò)，惡意破壞企業(yè)數(shù)據(jù)安全，那么企業(yè)要不要予以還擊？如何還擊？

在會上備受關(guān)注的一個想法是，有人提出利用攻擊工具和僵尸網(wǎng)絡(luò)存在的漏洞，設(shè)法確定攻擊者在找什么目標(biāo)下手或者設(shè)法提供虛假數(shù)據(jù)，或者甚至是潛入攻擊者的網(wǎng)絡(luò)大本營。

TEHTRI-Security是一家總部設(shè)在法國的道德黑客行為和漏洞研究公司，該公司創(chuàng)辦人兼首席執(zhí)行官Laurent Oudot在黑帽大會上發(fā)言時表示，要是結(jié)果查明攻擊者已接管了企業(yè)系統(tǒng)，你自然而然想要“予以還擊”，查清楚攻擊者在搞什么名堂，采用的手段有可能是找到對方所用的攻擊工具存在的漏洞，然后植下你自己的后門，悄悄監(jiān)視攻擊者。

Oudot說：“我們想要奮力還擊。我們想要鉆對方網(wǎng)絡(luò)的空子。”你需要與攻擊者有關(guān)的統(tǒng)計(jì)數(shù)字和日志，有可能借助這個想法：攻擊Zeus或SpyEye，甚至攻擊由某個國家在背后資助的攻擊者。Oudot特別指出，要找到便于破壞攻擊工具的零日漏洞并不是很復(fù)雜。他公司在識別漏洞方面有著豐富的經(jīng)驗(yàn)，包括與移動設(shè)備有關(guān)的幾個漏洞。他表示，還擊像Eleonore這樣的攻擊工具包，或者有意將虛假信息提供給攻擊者，其實(shí)相當(dāng)簡單。他說：“你能奮力還擊。你的敵人又不是什么道德黑客?！?/P>

安全研究人員Matthew Weeks最近加入了美國空軍，他也談?wù)摿藢︼@然利用攻擊工具闖入網(wǎng)絡(luò)的黑客要不要還以顏色的問題，承認(rèn)執(zhí)法部門可能會認(rèn)為大多數(shù)予以還擊的想法是違法的。

但是作為開源版Metasploit的開發(fā)者之一（這個工具用來測試和探測網(wǎng)絡(luò)漏洞，既可以用在正道上，也可以用在歪道上），Weeks表示，諸如此類的工具存在自己的漏洞，就像任何一種軟件一樣，攻擊者可能沒有注意到要給自己的攻擊工具打上補(bǔ)丁。

他在會上繼續(xù)深入地探討了開源Metasploit存在的一些漏洞。他還表示，同樣可以用于攻擊的其他工具也存在漏洞，比如Nessus或者Wireshark協(xié)議分析工具。
雖然進(jìn)行反擊的想法仍然有爭議，特別是由于可能會造成“意想不到的后果”，但Weeks特別指出，作為安全研究人員，他自己傾向于研究如何運(yùn)用像“tarpits”這樣的對策：一旦攻擊者相互聯(lián)系，這種對策會讓他們進(jìn)入死循環(huán)。

Weeks表示，這樣有可能“將攻擊中的一些資源擱置起來”；監(jiān)測黑客在搞什么名堂是明智之舉?，F(xiàn)在還很少有證據(jù)表明，公司企業(yè)或文職政府機(jī)構(gòu)在試圖采用這些方式，以其人之矛攻其人之盾，對付攻擊者；但是世界上幾個國家（包括美國）的軍事部門正在增強(qiáng)網(wǎng)絡(luò)軍事力量，致力于支援報(bào)復(fù)性打擊能力。而誰也沒有否認(rèn)發(fā)生在網(wǎng)絡(luò)空間的間諜行為。

漫長的較量

雖然以暴治暴也許能夠遏制網(wǎng)絡(luò)攻擊威脅，但黑帽大會上的幾位發(fā)言人表示，數(shù)據(jù)竊賊還是在輕而易舉地潛入企業(yè)網(wǎng)絡(luò)——在有些情況下，只要誘騙某個被盯上的受害者打開一封網(wǎng)絡(luò)釣魚電子郵件這么簡單。據(jù)安全公司Mandiant聲稱，數(shù)據(jù)竊賊通過這個途徑趁機(jī)而入，收集最有價值的信息；他們往往在幾個月、甚至幾年內(nèi)有條不紊地著手這種攻擊；所以想要將他們逮個現(xiàn)行，關(guān)鍵得有耐心。

Mandiant分享了其事件響應(yīng)小組在調(diào)查中發(fā)現(xiàn)的一些結(jié)果，并且特別指出：數(shù)據(jù)網(wǎng)絡(luò)竊取常常是個有條不紊的漫長過程，絕對不是搶來就跑的一次性事件。攻擊者通常通過針對某一個員工的網(wǎng)絡(luò)釣魚電子郵件潛入進(jìn)去，進(jìn)而控制住基于Windows的計(jì)算機(jī)，然后開始在網(wǎng)絡(luò)上四處搜索，尋找最有價值的數(shù)據(jù)，之后開始在已中招的機(jī)器上的“集結(jié)區(qū)”（staging area）收集數(shù)據(jù)，企圖最終通過RAR文件之類的數(shù)據(jù)容器，將這些數(shù)據(jù)傳送出去。

談到攻擊者如何偷偷將數(shù)據(jù)傳送到網(wǎng)絡(luò)外面的話題時，Mandiant公司的安全顧問Sean Coyne表示，在許多情況下，“攻擊者在那里潛伏了好幾個月，甚至好幾年?！彼貏e指出，一家受到攻擊的國防承包商事后發(fā)現(xiàn)，在幾個月期間，超過120GB的數(shù)據(jù)（主要是Word文檔）被人偷偷收集起來，攻擊者挑選了一個集結(jié)區(qū)，把偷來的數(shù)據(jù)集中打包，然后用RAR、ZIP或CAB文件等數(shù)字容器發(fā)送出去。

他指出：“發(fā)送一個大文件要比發(fā)送幾個小文件來得容易。大多數(shù)企業(yè)的IT用戶完全沒有注意到”，盡管他們可能在想為什么自己的計(jì)算機(jī)（被用作了集結(jié)點(diǎn)）突然速度似乎變慢了。

攻擊者常常使用后門特洛伊木馬和數(shù)據(jù)收集工具，比如一款名為Poison Ivy的工具。據(jù)Mandiant聲稱，但數(shù)據(jù)竊賊善于躲避，他們很多時候采用手動方法，而不是自動方法，避開安全控制措施，比如入侵預(yù)防系統(tǒng)或數(shù)據(jù)丟失預(yù)防（DLP）。

Mandiant的顧問Ryan Kazanciyan表示，他看到過這樣一個案例：一家不幸中招的企業(yè)在使用邁克菲主機(jī)入侵預(yù)防系統(tǒng)來查找RAR文件，但攻擊者發(fā)覺原來的攻擊手法引發(fā)警報(bào)后，完全換了一種監(jiān)視不到的攻擊手法。

Coyne表示，“有些壞人會采用能想到的一切手法”，然后伺機(jī)將數(shù)據(jù)發(fā)送出去；有的人“對攻擊手法精挑細(xì)選”。不過證據(jù)表明，如今的數(shù)據(jù)竊賊傾向于采用適合自己風(fēng)格的慣用方法。

被問到旨在監(jiān)視或阻止有人企圖未經(jīng)授權(quán)，將數(shù)據(jù)傳送到企業(yè)外面的DLP工具在對付數(shù)據(jù)外泄方面是否有效時，Kazanciyan和Coyne都表示了懷疑。

DLP主要是用來“防止用戶意外向外發(fā)送文件，”Coyne說?！八皇菫榱藨?yīng)對針對性攻擊而設(shè)計(jì)的?！盞azanciyan表達(dá)了類似的觀點(diǎn)。如果企業(yè)懷疑有數(shù)據(jù)竊賊在搞鬼，要做的頭一件事就是“不要恐慌，”Coyne說。要是輕率地對網(wǎng)絡(luò)進(jìn)行改動，只會讓攻擊者起疑心，從而改變攻擊手法。這是基于風(fēng)險的決定；但暫時可能需要作出決定，監(jiān)視被竊取的數(shù)據(jù)，不管這個過程有多痛苦，同時另一頭悄悄地搜尋，查清楚攻擊者在企業(yè)網(wǎng)絡(luò)里面所做的手腳。

鏈接：安全注意事項(xiàng)

懷疑遭遇了網(wǎng)絡(luò)竊賊？

下面是安全公司Mandiant在安全注意事項(xiàng)方面給出的幾個要點(diǎn)。

•要明白攻擊者可能潛伏了好幾個月，甚至潛伏了好幾年；你的目的是要立即遏制對方。

•調(diào)查工作需要側(cè)重于查找證據(jù)，比如攻擊者經(jīng)常在使用RAR文件這種數(shù)據(jù)容器，將大量數(shù)據(jù)發(fā)送出去之前用來存儲數(shù)據(jù)的集結(jié)區(qū)。

•由于大多數(shù)針對性攻擊是從針對員工的網(wǎng)絡(luò)釣魚電子郵件入手的，所以要加強(qiáng)安全教育和技術(shù)措施。

•不要恐慌，因?yàn)槟菢庸粽邥滥愣⑸狭怂麄?，他們就會改變攻擊手法?/P>

•不要匆忙清除電腦，并重新制作鏡像，因?yàn)槟憧赡軞У袅巳∽C分析所需要的證據(jù)。

•不要讓你的網(wǎng)絡(luò)仍然是“扁平的”——添加虛擬局域網(wǎng)之類的隔離環(huán)境會有所幫助。

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 最新網(wǎng)絡(luò)釣魚：單次攻擊多個實(shí)體
2. Yersinia：一款支持多協(xié)議的底層攻擊檢測工具
3. DDoS攻擊：網(wǎng)絡(luò)戰(zhàn)爭的尖頭兵
4. Anonymous黑客攻擊烏合之眾