Google Aurora攻擊調查的關鍵——DNS日志分析
Google的一名雇員點擊即時消息中的一條惡意鏈接,引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月,并且造成各種系統的數據被竊取。
Google的信息安全經理Heather Adkins就公司在一月發現的Aurora攻擊事件披露了一些細節。這次攻擊以Google和其它大約20家公司為目標,是一種高級的持續性威脅(以下簡稱APT),它是由一個有組織的網絡犯罪團體精心策劃的,目的是長時間地滲入這些企業的網絡并竊取數據。在2010年事故響應和安全團隊(FIRST)論壇大會上,Adkins說明了Google將如何建立一個事故響應團隊來實施調查,仔細地分析大量的DNS數據,從而追溯和判斷此次攻擊的范圍。
Adkins談到攻擊者實施的攻擊只有少數階段是獨特的。大多數階段,從實行社會工程學攻擊到利用IE6的零日漏洞,都是很常見的。
Adkins說,“要滲入你的網絡可能不需要特別復雜的操作。事實上每個階段有多難這并不是問題,問題是所需要技能、可用的工具以及技術難度。
對Google的APT行動開始于刺探工作,特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息,搜集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發布的信息。接著網絡罪犯利用一個動態DNS供應商來建立一個托管偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接并且點擊它,就進入了惡意站點,很快該雇員的電腦就被下載了惡意軟件。
Adkins說,“在整個網絡中并沒有大量的僵尸網絡,它們在目標系統中傳播地十分緩慢并且支持它們的基礎設施規模十分小”。
Adkins說該惡意軟件自身不是特別地復雜。網絡罪犯通過安全隧道與受害人機器建立了連接并且使用該雇員的憑證來訪問Google的其它服務器。攻擊者可以使用各種各樣的方法來竊取數據,如pass-the-hash技術(一個設計用來讀取存儲在本地內存中的Windows憑證的工具包)、在遠程桌面保存密碼或使用keylogger工具記錄受害人的鍵盤記錄。一旦他們獲取超級用戶權限,網絡罪犯就可以在服務器上安裝后門來查看和竊取文件并嘗試偷偷地訪問其它系統。
Adkins說Google Aurora攻擊事件中使用的這種數字偽裝技術很難被發現。Adkins所說的這種安全技術使安全團隊意識到了滲透行為,并且開始了漫長的調查。
Adkins還說Google發現最有用的方法是系統數字取證、事件日志和惡意軟件分析。當Google發現了網絡滲透后,安全團隊變得十分敏感,他們仔細檢查,不放過每個簡單的異常事件。
她說,“除非你做了一些篩選工作否則你一般不會意識到這是一種APT”。
Adkins談到在分析完惡意軟件的MD5簽名后似乎沒有人了解它,這表明第一個線索有問題。安全團隊同樣發現該軟件使用了一個硬編碼的DNS服務器。當攻擊者實施偵察時,他們會進行DNS查詢,這些數據在調查中是有用的。
她說團隊搜索了主機和該DNS查詢,復原出攻擊的情形。焦點集中在一個特定地方的DNS查詢,這代表了入侵的行為。大多數流量主要流向常見的站點。一個引人警覺的跡象是偵測到有訪問一個最近才注冊(以前沒有人訪問)的Web站點的流量。
她說,“DNS查詢日志可能是你發現新的惡意軟件產生的唯一方法。對手需要到其它系統上來安裝惡意軟件。我們經常關注大的異常事件,但是我們也需要監控這些微妙的事件”。
她說,Google的調查以一個核心的響應團隊為中心,引進系統專家,分配任務。團隊使用協同工具來加倍地核對他們的工作,實施數據分析。團隊需要使用他們的公共關系和法律團隊來通知其它受攻擊的公司,這增加了調查的時間。
Adkins說,“事實上,用于APT響應的人員十分緊缺。世界上沒有足夠的人員來防范這類攻擊”。
【編輯推薦】
