一般來講，黑客執(zhí)行下一步的網(wǎng)絡(luò)攻擊都需要非靜態(tài)數(shù)據(jù)，而進攻取證是一種捕獲這種非靜態(tài)數(shù)據(jù)的黑客攻擊技術(shù)”，計算機取證和電子搜索公司LLC伯克利分校研究小組的首席研究員Joe Sremack表示。

[[112860]]

在進攻取證過程中，黑客捕捉內(nèi)存中的非靜態(tài)數(shù)據(jù)用以獲取密碼、加密密鑰以及活躍網(wǎng)絡(luò)會話數(shù)據(jù)，這些都可以幫助他們不受任何限制地訪問寶貴數(shù)據(jù)資源。

為了說明這一點，舉一個進攻取證攻擊的簡單例子。進攻取證攻擊過成功中黑客會捕捉Windows剪貼板，這是一個不夠精明的企業(yè)網(wǎng)絡(luò)用戶經(jīng)常復(fù)制和粘貼安全密碼的地方。黑客通常利用Flash的漏洞來展開這種類型的攻擊。

“黑客往往利用瀏覽器中的Flash插件結(jié)合較弱的甚至錯誤的配置來讀取瀏覽器的完整信息，包括內(nèi)存中的密碼，”Sremack說。

安全意識是擊敗進攻取證的第一步技巧和戰(zhàn)術(shù)，及時的行動是第二步。

目的和手段

黑客使用進攻取證獲取憑證，如用戶名和密碼。這些都允許他們訪問敏感數(shù)據(jù)同時能夠隱瞞自己的身份，以拖延攻擊時被發(fā)現(xiàn)的時間并避免暴露自己的行蹤。

“他們還想延長時間，以便于其在被發(fā)現(xiàn)之前有充足的時間去訪問系統(tǒng)和目標數(shù)據(jù)，從而增加其犯罪所得，” 安全和風險管理公司Neohapsis的首席安全顧問Scott Hazdra說。

黑客尋找這種以半永久記憶的形式存在如RAM內(nèi)存或交換文件中的動態(tài)/非靜態(tài)數(shù)據(jù)。

“Windows臨時文件、Windows或Mac的剪貼板、從一個Telnet或FTP應(yīng)用程序中未加密的登錄數(shù)據(jù)，和web瀏覽器緩存等都是非靜態(tài)數(shù)據(jù)目標，”Sremack說。

一旦黑客獲得暫時存儲在明文中的用戶ID和密碼，他們就可以進入下一個等級的訪問，進一步獲取資源，如內(nèi)部網(wǎng)站、文檔管理系統(tǒng)和SharePoint站點，Sremack解釋道。

“這基本上是一個黑客必須使用鍵盤記錄器才能夠檢索到的信息的途徑，但沒有鍵盤記錄器，”Sremack說。

這對于黑客來說極為重要，因為反病毒和反惡意軟件工具可以檢測并移除鍵盤記錄。黑客們則運行其他的各種工具，比如查看剪貼板、注冊表或者電腦用明文存儲這些數(shù)據(jù)的任何工具。

這些工具，為黑客實時進行這些進攻時成為一件免費的福利，并且極容易接入互聯(lián)網(wǎng)。雖然Linux上有工具，但是通常犯這種典型錯誤(以明文將密碼儲存在剪貼板)的人使在工作站的終端使用者進行攻擊取證成為可能，而這些使用者通常運行Windows和Mac操作系統(tǒng)。

一些黑客使用特定的工具包括腳本工具作為取證的利器。

“還有大范圍用于此用途的各樣其他工具，包括免費的和高價的，比如FTK成像儀、RedLine、Volatility, CAINE, 和HELIX3 ”，Hazdra說。

企業(yè)響應(yīng)

“進攻取證很難計數(shù)，因為攻擊目標機器中的文件可能是安全的，而且傳統(tǒng)標準也將宣布系統(tǒng)是安全的，但是入侵者卻能夠訪問機器并能捕捉內(nèi)存，”Sremack說。

對付進攻取證的方法包括運行能夠掩藏和保護內(nèi)存數(shù)據(jù)的安全功能。這些類型的應(yīng)用程序包括KeePass和KeeScrambler。KeePass是一個加密的剪貼板工具，能夠自動清除剪貼板歷史;KeeScrambler則加密瀏覽歷史。

“每當用戶將字母鍵入瀏覽器，系統(tǒng)就會加密以防止黑客讀取儲存在內(nèi)存中的數(shù)據(jù)，”Sremack解釋道。目前有免費版的KeeScrambler;同樣能對付鍵盤記錄程序的還有付費版本。

最佳實踐要求一個企業(yè)網(wǎng)絡(luò)用戶必須在一個特定的機器上登陸進行系統(tǒng)活動，這樣一來，黑客就更難以消除自己的行蹤。此外，企業(yè)應(yīng)該使用文件系統(tǒng)可僅標記文件為“附錄”的特性(不會刪除或覆蓋現(xiàn)有的數(shù)據(jù))，這樣即使是那臺特定機器的系統(tǒng)管理員都無權(quán)刪除所寫，除非機器進入離線維護模式，Lancope的首席技術(shù)官TK Keanini這樣解釋道。

放眼大局來看，企業(yè)必須做足充分準備，以針對進攻取證襲擊作出有效的事件響應(yīng)。一個企業(yè)應(yīng)該從三個等級做好救援事件響應(yīng)準備，Keanini說，每一個等級需要添加一個維度來補充上一個等級力所不及的。

“即使攻擊者可以規(guī)避其中的一個等級，他們還是終將暴露在其他等級中，“Keanini說。

第一個等級是端點遙測。每個端點應(yīng)該有一些負責操作整個設(shè)備的系統(tǒng)級程序。

“雖然你永遠不能做到100%的準確率，然而百分之零的準確率是絕對不可接受的，”Keanini說。

第二個等級是網(wǎng)關(guān)和接入點遙測。在網(wǎng)絡(luò)的入口和出口上，一些技術(shù)應(yīng)該記錄入站和出站連接。這將為網(wǎng)絡(luò)互聯(lián)提供檢測和網(wǎng)絡(luò)取證的依據(jù)。

第三個等級是基礎(chǔ)設(shè)施遙測。

“所有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)該展示未取樣的Netflow/IPFIX(流量分析 /互聯(lián)網(wǎng)協(xié)議流信息輸出)，”Keanini認為，IT安全利用跟蹤所有元數(shù)據(jù)水平下網(wǎng)絡(luò)流量的工具來收集這些數(shù)據(jù)集。

“這個數(shù)據(jù)集作為網(wǎng)絡(luò)的總帳目，能夠提供給你網(wǎng)絡(luò)中最完整的活動列表，”Keanini說。

如果一個企業(yè)用三個等級的遙測技術(shù)來武裝其自身安全，幾乎沒有任何攻擊或者攻擊者可以找到藏身之處。

Keanini認為，“更重要的是，當黑客進行某種形式的數(shù)據(jù)挖掘時，在執(zhí)行其他階段的攻擊時其仍然要想方設(shè)法地去掩藏自己。”

在運營階段，企業(yè)可以發(fā)現(xiàn)具備這些遙測水平的攻擊者，并在黑客完成進攻目標之前做出相應(yīng)部署。

企業(yè)需要時刻留意進攻取證，它像其他攻擊技術(shù)一樣將持續(xù)發(fā)展進化。進行網(wǎng)絡(luò)犯罪的黑客將使用一切可能的工具來完成網(wǎng)絡(luò)進攻，即使該工具本身是良性的，網(wǎng)絡(luò)黑客也會背離其設(shè)計者的初衷而在犯罪過程中歪曲地使用它。

首席安全官和首席信息安全官們需要不斷對其IT團隊和安全團隊進行技術(shù)培訓(xùn)，來讓他們知曉當前的最新威脅及破解途徑。大多數(shù)IT安全團隊最終還是需要最新的工具來檢測進攻取證攻擊的，Hazdra說。

高價值資產(chǎn)需要最先進的保護模式，以便安全團隊能夠檢測威脅并防止黑客利用取證工具竊取企業(yè)數(shù)據(jù)，Hazdra認為。

“未經(jīng)授權(quán)使用這些工具的情況很可能發(fā)生于大多數(shù)企業(yè)和組織網(wǎng)絡(luò)管理的盲區(qū)。因為管理員會監(jiān)控包括網(wǎng)絡(luò)流量、文件完整性、入侵檢測和未經(jīng)授權(quán)的訪問嘗試等在內(nèi)的行為，卻沒有適當?shù)墓ぞ邅頇z測系統(tǒng)上執(zhí)行內(nèi)存轉(zhuǎn)儲的人或者其安全團隊是否在使用進攻取證工具，”Hazdra解釋道。