一般來(lái)講，黑客執(zhí)行下一步的網(wǎng)絡(luò)攻擊都需要非靜態(tài)數(shù)據(jù)，而進(jìn)攻取證是一種捕獲這種非靜態(tài)數(shù)據(jù)的黑客攻擊技術(shù)”，計(jì)算機(jī)取證和電子搜索公司LLC伯克利分校研究小組的首席研究員Joe Sremack表示。

[[112860]]

在進(jìn)攻取證過(guò)程中，黑客捕捉內(nèi)存中的非靜態(tài)數(shù)據(jù)用以獲取密碼、加密密鑰以及活躍網(wǎng)絡(luò)會(huì)話數(shù)據(jù)，這些都可以幫助他們不受任何限制地訪問(wèn)寶貴數(shù)據(jù)資源。

為了說(shuō)明這一點(diǎn)，舉一個(gè)進(jìn)攻取證攻擊的簡(jiǎn)單例子。進(jìn)攻取證攻擊過(guò)成功中黑客會(huì)捕捉Windows剪貼板，這是一個(gè)不夠精明的企業(yè)網(wǎng)絡(luò)用戶經(jīng)常復(fù)制和粘貼安全密碼的地方。黑客通常利用Flash的漏洞來(lái)展開這種類型的攻擊。

“黑客往往利用瀏覽器中的Flash插件結(jié)合較弱的甚至錯(cuò)誤的配置來(lái)讀取瀏覽器的完整信息，包括內(nèi)存中的密碼，”Sremack說(shuō)。

安全意識(shí)是擊敗進(jìn)攻取證的第一步技巧和戰(zhàn)術(shù)，及時(shí)的行動(dòng)是第二步。

目的和手段

黑客使用進(jìn)攻取證獲取憑證，如用戶名和密碼。這些都允許他們?cè)L問(wèn)敏感數(shù)據(jù)同時(shí)能夠隱瞞自己的身份，以拖延攻擊時(shí)被發(fā)現(xiàn)的時(shí)間并避免暴露自己的行蹤。

“他們還想延長(zhǎng)時(shí)間，以便于其在被發(fā)現(xiàn)之前有充足的時(shí)間去訪問(wèn)系統(tǒng)和目標(biāo)數(shù)據(jù)，從而增加其犯罪所得，” 安全和風(fēng)險(xiǎn)管理公司Neohapsis的首席安全顧問(wèn)Scott Hazdra說(shuō)。

黑客尋找這種以半永久記憶的形式存在如RAM內(nèi)存或交換文件中的動(dòng)態(tài)/非靜態(tài)數(shù)據(jù)。

“Windows臨時(shí)文件、Windows或Mac的剪貼板、從一個(gè)Telnet或FTP應(yīng)用程序中未加密的登錄數(shù)據(jù)，和web瀏覽器緩存等都是非靜態(tài)數(shù)據(jù)目標(biāo)，”Sremack說(shuō)。

一旦黑客獲得暫時(shí)存儲(chǔ)在明文中的用戶ID和密碼，他們就可以進(jìn)入下一個(gè)等級(jí)的訪問(wèn)，進(jìn)一步獲取資源，如內(nèi)部網(wǎng)站、文檔管理系統(tǒng)和SharePoint站點(diǎn)，Sremack解釋道。

“這基本上是一個(gè)黑客必須使用鍵盤記錄器才能夠檢索到的信息的途徑，但沒(méi)有鍵盤記錄器，”Sremack說(shuō)。

這對(duì)于黑客來(lái)說(shuō)極為重要，因?yàn)榉床《竞头磹阂廛浖ぞ呖梢詸z測(cè)并移除鍵盤記錄。黑客們則運(yùn)行其他的各種工具，比如查看剪貼板、注冊(cè)表或者電腦用明文存儲(chǔ)這些數(shù)據(jù)的任何工具。

這些工具，為黑客實(shí)時(shí)進(jìn)行這些進(jìn)攻時(shí)成為一件免費(fèi)的福利，并且極容易接入互聯(lián)網(wǎng)。雖然Linux上有工具，但是通常犯這種典型錯(cuò)誤(以明文將密碼儲(chǔ)存在剪貼板)的人使在工作站的終端使用者進(jìn)行攻擊取證成為可能，而這些使用者通常運(yùn)行Windows和Mac操作系統(tǒng)。

一些黑客使用特定的工具包括腳本工具作為取證的利器。

“還有大范圍用于此用途的各樣其他工具，包括免費(fèi)的和高價(jià)的，比如FTK成像儀、RedLine、Volatility, CAINE, 和HELIX3 ”，Hazdra說(shuō)。

企業(yè)響應(yīng)

“進(jìn)攻取證很難計(jì)數(shù)，因?yàn)楣裟繕?biāo)機(jī)器中的文件可能是安全的，而且傳統(tǒng)標(biāo)準(zhǔn)也將宣布系統(tǒng)是安全的，但是入侵者卻能夠訪問(wèn)機(jī)器并能捕捉內(nèi)存，”Sremack說(shuō)。

對(duì)付進(jìn)攻取證的方法包括運(yùn)行能夠掩藏和保護(hù)內(nèi)存數(shù)據(jù)的安全功能。這些類型的應(yīng)用程序包括KeePass和KeeScrambler。KeePass是一個(gè)加密的剪貼板工具，能夠自動(dòng)清除剪貼板歷史;KeeScrambler則加密瀏覽歷史。

“每當(dāng)用戶將字母鍵入瀏覽器，系統(tǒng)就會(huì)加密以防止黑客讀取儲(chǔ)存在內(nèi)存中的數(shù)據(jù)，”Sremack解釋道。目前有免費(fèi)版的KeeScrambler;同樣能對(duì)付鍵盤記錄程序的還有付費(fèi)版本。

最佳實(shí)踐要求一個(gè)企業(yè)網(wǎng)絡(luò)用戶必須在一個(gè)特定的機(jī)器上登陸進(jìn)行系統(tǒng)活動(dòng)，這樣一來(lái)，黑客就更難以消除自己的行蹤。此外，企業(yè)應(yīng)該使用文件系統(tǒng)可僅標(biāo)記文件為“附錄”的特性(不會(huì)刪除或覆蓋現(xiàn)有的數(shù)據(jù))，這樣即使是那臺(tái)特定機(jī)器的系統(tǒng)管理員都無(wú)權(quán)刪除所寫，除非機(jī)器進(jìn)入離線維護(hù)模式，Lancope的首席技術(shù)官TK Keanini這樣解釋道。

放眼大局來(lái)看，企業(yè)必須做足充分準(zhǔn)備，以針對(duì)進(jìn)攻取證襲擊作出有效的事件響應(yīng)。一個(gè)企業(yè)應(yīng)該從三個(gè)等級(jí)做好救援事件響應(yīng)準(zhǔn)備，Keanini說(shuō)，每一個(gè)等級(jí)需要添加一個(gè)維度來(lái)補(bǔ)充上一個(gè)等級(jí)力所不及的。

“即使攻擊者可以規(guī)避其中的一個(gè)等級(jí)，他們還是終將暴露在其他等級(jí)中，“Keanini說(shuō)。

第一個(gè)等級(jí)是端點(diǎn)遙測(cè)。每個(gè)端點(diǎn)應(yīng)該有一些負(fù)責(zé)操作整個(gè)設(shè)備的系統(tǒng)級(jí)程序。

“雖然你永遠(yuǎn)不能做到100%的準(zhǔn)確率，然而百分之零的準(zhǔn)確率是絕對(duì)不可接受的，”Keanini說(shuō)。

第二個(gè)等級(jí)是網(wǎng)關(guān)和接入點(diǎn)遙測(cè)。在網(wǎng)絡(luò)的入口和出口上，一些技術(shù)應(yīng)該記錄入站和出站連接。這將為網(wǎng)絡(luò)互聯(lián)提供檢測(cè)和網(wǎng)絡(luò)取證的依據(jù)。

第三個(gè)等級(jí)是基礎(chǔ)設(shè)施遙測(cè)。

“所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)該展示未取樣的Netflow/IPFIX(流量分析 /互聯(lián)網(wǎng)協(xié)議流信息輸出)，”Keanini認(rèn)為，IT安全利用跟蹤所有元數(shù)據(jù)水平下網(wǎng)絡(luò)流量的工具來(lái)收集這些數(shù)據(jù)集。

“這個(gè)數(shù)據(jù)集作為網(wǎng)絡(luò)的總帳目，能夠提供給你網(wǎng)絡(luò)中最完整的活動(dòng)列表，”Keanini說(shuō)。

如果一個(gè)企業(yè)用三個(gè)等級(jí)的遙測(cè)技術(shù)來(lái)武裝其自身安全，幾乎沒(méi)有任何攻擊或者攻擊者可以找到藏身之處。

Keanini認(rèn)為，“更重要的是，當(dāng)黑客進(jìn)行某種形式的數(shù)據(jù)挖掘時(shí)，在執(zhí)行其他階段的攻擊時(shí)其仍然要想方設(shè)法地去掩藏自己。”

在運(yùn)營(yíng)階段，企業(yè)可以發(fā)現(xiàn)具備這些遙測(cè)水平的攻擊者，并在黑客完成進(jìn)攻目標(biāo)之前做出相應(yīng)部署。

企業(yè)需要時(shí)刻留意進(jìn)攻取證，它像其他攻擊技術(shù)一樣將持續(xù)發(fā)展進(jìn)化。進(jìn)行網(wǎng)絡(luò)犯罪的黑客將使用一切可能的工具來(lái)完成網(wǎng)絡(luò)進(jìn)攻，即使該工具本身是良性的，網(wǎng)絡(luò)黑客也會(huì)背離其設(shè)計(jì)者的初衷而在犯罪過(guò)程中歪曲地使用它。

首席安全官和首席信息安全官們需要不斷對(duì)其IT團(tuán)隊(duì)和安全團(tuán)隊(duì)進(jìn)行技術(shù)培訓(xùn)，來(lái)讓他們知曉當(dāng)前的最新威脅及破解途徑。大多數(shù)IT安全團(tuán)隊(duì)最終還是需要最新的工具來(lái)檢測(cè)進(jìn)攻取證攻擊的，Hazdra說(shuō)。

高價(jià)值資產(chǎn)需要最先進(jìn)的保護(hù)模式，以便安全團(tuán)隊(duì)能夠檢測(cè)威脅并防止黑客利用取證工具竊取企業(yè)數(shù)據(jù)，Hazdra認(rèn)為。

“未經(jīng)授權(quán)使用這些工具的情況很可能發(fā)生于大多數(shù)企業(yè)和組織網(wǎng)絡(luò)管理的盲區(qū)。因?yàn)楣芾韱T會(huì)監(jiān)控包括網(wǎng)絡(luò)流量、文件完整性、入侵檢測(cè)和未經(jīng)授權(quán)的訪問(wèn)嘗試等在內(nèi)的行為，卻沒(méi)有適當(dāng)?shù)墓ぞ邅?lái)檢測(cè)系統(tǒng)上執(zhí)行內(nèi)存轉(zhuǎn)儲(chǔ)的人或者其安全團(tuán)隊(duì)是否在使用進(jìn)攻取證工具，”Hazdra解釋道。