网络攻击

前言：在网络取证畛域,网络攻击溯源始终是一个重要的追踪形式。 近年来，网络安全事件层出不穷，各种网络攻击给国家、社会和集体带来了重大的危害，如分布式拒绝服务攻打（DDoS)、基于僵尸网络（Botnet）的高级可继续攻打（APT)、利用近程管制木马的信息窃取等。在这些攻打办法中，攻击者会向指标主机，也就是受益主机，发送特定的攻打数据包。 从受益主机的角度来看，可能察看到这些攻打数据包，如果能追踪这些攻打数据包的起源,定位攻击者的真正地位,受益主机岂但能够采纳应答措施,如在适合的地位过滤攻打数据包，而且能够对攻击者采取法律手段。因而在网络取证畛域,网络攻击溯源始终是一个重要的追踪形式。  一、什么是网络攻击溯源在网络空间中,网络攻击源追踪是指当检测到网络攻击事件产生后，可能追踪定位真正的攻击者的主机，以帮忙司法人员对攻击者采取法律手段。近二十年，钻研人员对网络攻击源追踪技术进行了大量钻研。 更具象化的来说网络攻击源追踪是指，在网络空间中，平安人员在检测到攻击行为产生的状况下，如何追踪定位攻击者的主机?尽管从司法取证的角度,更心愿能辨认出攻击者自己，以便于对嫌疑人采取法律手段,但这须要将网络空间中的“主机”与事实物理空间中的“人”进行关联。所以网络空间中，如何辨认出攻击者间接应用的主机才是最重要的。  二、五种常见覆盖实在IP的网络攻击追踪问题因为攻击者能够采纳不同的模式来暗藏本身实在的IP地址，如虚伪IP地址或跳板的形式,那么能够将攻打源追踪问题分为上面5个问题:虚伪IP溯源、僵尸网络溯源、匿名网络溯源、跳板溯源、局域网溯源，由此对这五种问题进行追踪溯源。1.虚伪IP溯源:取证人员检测到的攻打数据包中，其源IP地址是伪造的。例如，典型的SYN Flood攻打。  在这种网络攻击中，攻击者将攻打数据包中的源IP地址替换为伪造的IP地址,受益主机收到数据包后,将响应数据包发送给伪造的IP地址主机，这些主机可能存在也可能不存在。这样在受益主机端,无奈失去攻打主机的IP地址。 除此之外, 还有一种非凡的“反射攻打”, 如Smurf 攻打、DNS放大攻打等在这种攻打中,攻击者将攻打数据包中的源IP地址替换为受害者的IP地址，将攻打数据包发送给反射主机，反射主机收到数据包后，响应数据包将发送给受益主机。从受益主机端察看，只能判断这些数据包来自反射主机，无奈晓得真正攻击者的IP地址。 2.僵尸网络溯源:攻击者利用僵尸网络动员攻打，取证人员检测到攻打数据包中，其源IP地址来自于Botnet中的bot主机，在这种状况下如何追踪定位攻击者的主机?  在这种攻打中，攻击者利用C&C型或P2P型Botnet，先发送控制指令, bot主机接管到控制指令后,向设定的攻打指标动员攻打。在受益主机端,能够看到攻打数据包来自 bot主机，而无奈辨认出真正的Botmaster。 3.匿名网络溯源:攻击者利用匿名网络,如“Tor”,动员攻打,取证人员检测到攻打数据包中,其源IP地址来自于匿名网络，在这种状况下如何追踪定位攻击者的主机?Tor 网络就是匿名网络典型的攻打场。  在这种攻打中,攻击者的攻打数据包通过匿名网络进行转发，在受益主机端，只能察看到攻打数据包来自于进口路由器，而不能发现真正的攻击者。 4.跳板溯源:攻击者利用多个“跳板主机”，即通过管制多个主机转发攻打数据包，取证人员检测到攻打数据包，其源IP地址是最初一跳“跳板主机”的IP地址，前一段时间西北工业大学被NAS攻打中，就使用了54台跳板来暗藏真正的IP地址。  在这种攻打中,攻击者当时管制多个跳板主机,利用跳板转发攻打数据包。在受益主机端,只能看到攻打数据包来自于最初一跳的主机,而不能辨认出真正的攻击者。很显然,跳板门路越长,越难追踪攻击者。 5.局域网络溯源:攻击者位于公有网络内，其攻打数据包中的源IP地址通过了网关的VAT(Network Address Transform)地址转换。 在这种攻打中,因为攻击者的IP地址是公有IP地址,在受益主机端只能看到NAT网关的IP地址。在大型公有网络内，特地是无线局域网中，寻找定位攻击者并不是一件简略的事件。 在理论的网络攻击事件中, 可能并不严格遵守上述各种攻打场景, 但大抵能够归为上述某个或某几个问题。 三、虚伪IP地址攻打溯源当攻打数据包中的源IP地址是伪造的时，如何找到发送攻打数据包的实在IP地址?这一问题也被称为IP追踪(IPTraceback)。对该问题, 须要依照不同背景、状况，不同分类办法来施行溯源办法。 1.背景：取证人员能够管制骨干网络上的全副或大部分路由器，并且能够批改路由软件。取证人员能够在当时给骨干网络的路由器减少新的性能,在不影响失常路由的状况下批改规范的IP协定，以帮忙发现实在的IP地址。 基于这一条件的办法次要有概率包标记算法、确定包标记算法、ICMP标记算法等。同时还有一些组合办法，例如采纳数据包标记和数据包记录的混合办法；综合了 ICMP 和 PPM 算法, 路由器对于 IP 数据包以肯定概率进行标记, 并且同时把IP地址填入ICMP包中等等。 2.背景：取证人员能够管制骨干网络上的路由器,但不能批改路由软件。依据此种状况，取证人员能够当时察看记录流经骨干网络路由器的IP数据包，但不能扭转规范的路由协定。 次要思路是,在路由器上记录所有流经的数据包，当攻打产生时，受益主机向其上游路由器进行查问,路由器比对所记录的数据包，能够结构出该数据包所通过的门路。该办法长处是能够回溯单个数据包，但毛病是须要思考路由器存储空间受限的问题。 所以针对此种状况，Alex C.Snoeren、Craig Partridge等人在《Single-packet IP traceback》设计了一个追踪零碎SPIE,不是让路由器记录整个数据包，而是利用bloom filter记录数据包的摘要，大大减少了所需的存储空间。而后通过查问每个路由器上的数据包摘要，能够重构出攻打门路。 还能够依据局部路由器进行数据包记录的状况, 并且对于多个攻打源问题, 该办法只须要追踪属于多个攻打源的数据包就能够辨认出多个攻打源。 在《Session based logging (SBL) for IP-traceback on network forensics》中提出一种基于Session的数据包记录办法, 即只记录TCP数据流中的连贯建设申请SYN数据包和连贯终止 FIN 数据包, 疏忽掉流两头的数据包, 从而大大减少所需的存储空间。在《Passive IP traceback: disclosing the locations of IP spoofers from path backscatter》中针对跨自治域的追踪问题,能够利用路由器的IP包记录办法, 联合链路层的MAC地址来辨认虚伪IP地址, 实现了一个原型零碎。 ...

编者按 中小企业量大面广，是我国经济倒退中的毛细血管和神经末梢，同时也是数字化浪潮中，对市场变动反馈最为敏感的群体。然而，中小企业在数字化转型过程中面临着“不会转”、“没钱转”和“不敢转”等难题，其中就包含各种各样的网络攻击问题。近日，思科公布了对亚太区 14 个市场 3700多家中小企业的网络安全业务调查报告，反映出中小企业所面对的网络安全窘境。 本期产业平安TALK，聚焦中小企业面临的次要网络威逼，从攻防的角度剖析日益猖狂的网络攻击，同时和大家一起探讨中小企业如何从战略战术上有效应对网络攻击。 作者：金珉锡 中小企业是国民经济和社会倒退的生力军。据Sixlens数据显示，截至2020年底，我国存续在营的中小企业数量冲破4200万家，占全国企业总量的98.5%。数字化浪潮奔流而来，中小企业也应趁势而为，减速数字化转型成为其生存必选项。然而，因为中小企业在网络安全建设上技术、人才、资金、教训的不足，导致其数字化转型航程并非一帆风顺。 各种网络威逼层出不穷中小企业面临平安窘境思科基于亚太14个国家和地区的调查报告显示，在过来12个月中，56%的亚太区中小企业和42%的中国中小企业用户受到过网络攻击，依照网络安全威逼的重大水平排列，顺次为恶意软件（75%）、网络钓鱼（60%）和服务阻断（54%）。 有别于大中型企业所蒙受的攻打类型，中小企业面临的网络威逼次要体现在以下方面： 恶意软件 恶意软件随同着计算机的呈现而呈现，蕴含病毒、蠕虫、特洛伊木马和其余无害计算机程序。在所有恶意软件中，勒索软件是增长最快的网络攻击之一，而中小企业则是勒索软件频发的重灾区。FinCEN公布的报告显示， 2021 年前六个月与勒索软件相干的可疑流动报告 (SAR) 中索要的赎金总额达到了 5.9 亿美元，超过了其余类安全事件的总和。 网络钓鱼 互联网高速倒退的明天，企业及其零碎与内部网络的分割逐步增多，这不仅扩充了零碎被攻打的可能，也给企业带来更多的网络安全威逼。依据自动化平台Ivanti对寰球1000多名企业IT业余人员的一项新钻研，80%的受访者示意网络钓鱼攻打数量正在减少，85%的受访者示意这些攻打类型变得越来越简单。 服务阻断 传统的平安防护能力正在一直削弱，高级威逼攻打就像一把高悬在头顶的“达摩克利斯之剑”，让很多企业在数字化转型中感到不安。另外，大规模DDoS攻打也被不少公司用来攻打竞争对手，以及被黑客组织用来勒索讹诈。 以游戏行业为例，黑客组织ACCN专门瞄准TapTap上的热门小工作室，以及小厂家的游戏下手，国产独立手游《弈剑行》在开服第一天便被该组织攻打，被迫将一款主打联机对战的游戏改为单机版，三年的心血由此付之一炬。 数据泄露 寰球均匀每分钟就有2家公司因为信息安全问题而开张，而被攻打的亚太区中小企业75%的客户信息落入到黑客手中。 数字化转型浪潮之下中小企业为何成为“待宰羔羊”？Arctic Wolf的一项考察显示，有四分之三的中小企业无奈真正抵挡网络攻击，甚至因遭逢勒索攻打，领取不起赎金而关门歇业的案例也不在少数。位于美国阿肯色州的电话销售公司The Heritage Company，在被勒索软件攻打后，因为IT复原工作未能按计划进行，300多名员工不得不在圣诞节前从新找工作。 网络攻击正给中小企业造成无法挽回的损失。考察显示，如果宕机1小时，将给16%的中国中小企业的营收造成重大影响；如果宕机工夫长达一天，那么10%的中国中小企业的业务将无奈发展；而最为显性的结果则是，3%的中国中小企业在过来的12个月中因蒙受网络攻击造成的损失高达100万美元。 中小企业之所以一直被黑客攻陷并遭受重大损失，从攻防的角度来看，次要有两方面的起因：一是网络攻击伎俩一直进化导致传统防护伎俩不再实用；二是中小企业因为本身网络安全防护工作不够深刻到位，导致无奈应答愈演愈烈的网络攻击。 从攻方的角度来看，网络攻击和信息科技的倒退处于同一个“生态圈”中。网络攻击技术走到明天，呈现出两个次要特色：一是网络攻击技术曾经由简略走向简单，二是网络攻击逐渐从集体走向组织。 2016年的乌克兰电网零碎事件曾经表明，攻击者面对进攻体系时采纳了更为先进的APT技术与工具来实现入侵网络与零碎的目标。在网络攻击中应用人工智能技术进行使用剖析，并向武器化、自动化蔓延已成为趋势。网络攻击走向组织化使得攻打更具隐蔽性，也令攻打监测和追踪溯源变得更加艰难。 从防守方的角度来看，中小企业网络安全问题无奈独立解决，是该群体普遍存在的问题。大多数中小企业的负责人对网络安全器重水平不够，即便有安全意识但囿于估算、人力无限，不足防备和解决能力，以致中小企业更容易蒙受网络攻击。 加之异地办公、近程办公、企业办公地点扩散等问题，经常导致IT人员疲于奔命，愈发减轻了中小企业应答网络攻击的累赘。安全意识单薄加上技术能力有余、修复能力不佳、网络安全估算不够，一旦企业的网络安全防线被攻破，对大型企业而言是劫难现场，对中小企业而言则是最初的丧钟。 卓有成效应答网络安全问题知己知彼方能百战不殆中小企业的平安症结在于网络安全建设滞后导致的一系列连锁反应，网络攻击者往往能以更快的速度将新技术利用到他们的武器库中，并迅速发动攻打，这使得单方攻防的天平朝着攻打方歪斜。面对网络攻击侵害频率高、损失重的难题，中小企业亟需从意识、策略和技术手段上寻求适合的解决之道。 思科大中华区副总裁卜宪录示意：“因为中小企业 SaaS 应用程序使用量的快速增长以及近程工作应用案例的减少，网络边界正在向云转移，这些都在迫使着人们从新思考平安架构。新的平安架构要笼罩网络、用户和端点、云边缘和应用程序的所有要害控制点。要为跨用户、设施、网络、应用程序和数据提供‘零信赖’和‘端到端’的平安解决方案。” 网络安全问题无时无刻都在产生，网络安全问题的解决也不是欲速不达的。具体而言，中小企业可从三方面着手，晋升应答网络安全危险的能力： 首先，需自上到下造就网络安全意识，公司管理层需进步对网络安全建设的器重度，进而进一步增强业余平安人员和业务人员在网络安全方面的培训，即从企业的顶层设计开始就融入平安的思维，为企业的整个业务流程打造好一道以“人”为外围的平安防线。当每个员工成为企业平安的一部分时，企业便领有了一种平安文化，这在应答来势汹汹的网络安全挑战时是至关重要的。 其次，要在梳理好业务的根底上重点守护外围数据资产。数字化时代数据安全重于泰山，数据的价值正在一直被开掘并展示进去。后疫情时代，企业近程办公成为常态，近程办公平安随即也成为标配。用户的权限治理认证、数据的分级分类、全生命周期的流转管制等都须要高级别的平安爱护，基于零信赖理念的平安架构则正好符合了这样的需要。腾讯平安吕一平认为，云原生平安非常有利于中小企业进步数字化生存能力，企业应构建“零信赖”机制应答新的安全形势。 最初，中小企业应遵循简略至上的准则，抉择可信的云服务商。面对无所不在的网络安全威逼，中小企业仅凭本身技术、人才和资金实力，很难有效应对一直进化的网络安全问题。通过借助外力，整合通过实际测验的、有说服力的网络安全计划，与领有弱小技术能力的平安厂商深入单干，做到内外协同，充分发挥“技术、产品、人”的合力，继续一直地优化和晋升平安爱护程度。 “长风破浪会有时，直挂云帆济桑田”。数字化转型航程中的大风大浪对中小企业而言是一次艰巨的考验，行路虽难，中小企业还应坚持不懈，一直优化和欠缺本身网络安全建设，采他山之石以攻玉，纳百家之长以厚己。

SonicWall 一份新报告显示，2021 年上半年勒索软件攻打尝试次数激增，达到 3.047 亿次，超过 2020 年全年的攻打总数 3.046 亿，同比增长 151%。其中往年 4 月、5 月、6 月的攻打尝试次数均创下纪录，6 月份勒索软件攻打尝试达 7840 万次。 报告称:“即便整个下半年没有记录一次勒索软件攻打尝试，2021 年也将成为 SonicWall 记录中勒索软件攻打最猖獗的一年。” 《2021 年 SonicWall 网络威逼报告》依据 SonicWall Capture Threat Network 收集的信息编写而成。该网络监控和收集了来自寰球设施的信息，包含 215 个国家和地区的 110 多万个平安传感器，并从寰球数以万计的防火墙和电子邮件安全设备中收集恶意软件和 IP 信用数据，通过 50 多个行业单干个人和钻研组织的共享威逼情报收集信息。 该报告显示，2021 上半年勒索软件攻打达 3.047 亿次，恶意软件攻打达 25 亿次，明码劫持攻打达 5110 万次，IoT 恶意软件攻打达 3220 万次。具体数据参见下图： 勒索软件攻打激增，美英德受影响最大2021 年上半年勒索软件攻打次数超 2020 年全面，美国、英国、德国、南非和巴西受勒索软件影响最大。 报告指出，勒索软件问题继续好转。数据表明，2021 年 Q2 的状况远比 Q1 更加蹩脚。Q2 是 SonicWall 记录以来最蹩脚的季度，勒索软件攻打量达到 1.889 亿次，远超 Q1 的 1.158 亿次。 ...

美国管道公司 Colonial Pipeline 蒙受 DarkSide 勒索攻打的事刚过去没多久，但网络立功的步调并未加速。最近美国软件供应商 Kaseya 蒙受勒索软件 REvil 的攻打，导致系统瘫痪，多个托管服务提供商及其一千多名客户受到影响。REvil 勒索软件组织更是要求领取 7000 万美元赎金，突破了最高赎金历史记录。不过，今日攻击者将赎金降至 5000 万美元。 勒索软件攻打愈演愈烈，规模和赎金金额也呈指数级增长。理解这些群体是谁，他们想要什么，对打倒他们至关重要。 明天，咱们就来盘点一下目前最危险的五大网络立功组织。 DarkSideDarkSide 是往年 5 月 Colonial Pipeline 攻打的幕后黑手，这次攻打导致美国 Colonial Pipeline 的燃料配送网络敞开，引发了对汽油短缺的担心。 DarkSide 组织首次被关注到的工夫应该是 2020 年 8 月，总部位于东欧。其攻打指标是那些会因网络中断导致服务受限的大公司——这是一个关键因素，因为这样被攻打刚才更有可能领取赎金。这类公司也更有可能配置网络保险，对于犯罪分子来说，这意味着他们可能轻松赚到钱。 DarkSide 的商业模式是提供勒索软件服务。换言之，它代表其余暗藏的作恶者（perpetrator）进行勒索软件攻打，以便加重作恶者的责任。取得的利益则由执行者和犯罪者分享。 提供 “网络立功即服务” 的组织还提供在线论坛交换，以反对其余想要进步网络立功技能的人或组织。这些技能可能包含如何将分布式拒绝服务 (DDoS) 和勒索软件攻打联合起来、给会谈施加额定的压力等。勒索软件用于阻止企业解决之前和当初的订单，DDoS 攻打则阻止任意新订单。 REvilREvil 正是目前 Kaseya 攻打事件的配角，而就在上个月该组织还施行了对寰球最大肉食品加工商 JBS 的袭击。 该组织于 2019 年 4 月首次被发现，最后通过 Oracle WebLogic 破绽流传，在 2020-2021 年特地沉闷。 往年 4 月，REvil 从苹果代工厂广达电脑处窃取了未公布的苹果产品技术数据，并要求 5000 万美元赎金，否则将公开被盗数据。 ClopClop 是一个以经济利益为动机的网络攻击组织，于 2019 年 2 月呈现在公众视线中。Clop 的次要指标是加密企业的文件，收到赎金后再发送解密器。 ...

不久前，欧洲多国超级计算机演出“挖矿”风暴，规模之大前所未有。 5月11号，位于英国爱丁堡大学的超级计算机ARCHER（弓箭手）蒙受网络攻击。这台2014年耗资4300万英镑（约合人民币4亿元）、在服役之前发挥余热、帮忙研究者反抗新冠病毒、至今仍在寰球超级计算机单中排名252名的性能怪兽，因为黑客的攻打，不得不抉择下线“保平安”。 同天另一起网络攻击也导致德国5台超级计算机敞开。在接下来的几天里，德国其余中央、瑞士和巴塞罗那也呈现了相似的状况。 相干平安专家预先剖析，黑客是通过窃取SSH凭证取得了超级计算机的拜访权限，而后在ARCHER上部署了开掘Monero(XMR)即加密货币的应用程序。 也有其余专家揣测，本次超级计算机零碎被入侵事件是一些民族主义者施行的，因为被攻打的国家参加了新冠肺炎暴发的钻研。 超级计算机背地的“正邪对决” 超级计算机始终是计算机世界中最非凡的存在，它的存在就是为了解决最大、最难的问题，为国家、甚至全人类造福。 不同于一般的计算机系统，超算造价老本少则几亿人民币，多则几十亿，每秒能进行数千万、亿万次浮点运算。被广泛应用于国防科技、生物医学、气象预报等畛域施展着巨大作用。 传统来说，超级计算机的“事实资产”意义大于“数字资产”，并不是常见的黑客攻击指标。一来超级计算机计算出来的后果，既不属于民用更不属于商用，气象钻研、核武器模仿等常见工作无奈轻易转换为钱财；二来，超级计算机通常作为计算单元，并不会存储太多数据。 所以在最晚期，“黑”超级计算机的目标次要是是黑客展现本身技术实力，偶然顺带表白一下本人的意见和态度： 早在1994年，“世界头等黑客”米特尼克曾向圣迭戈超级计算机核心动员了一次攻打。《纽约时报》称这一口头“将整个互联网置于一种危险的地步”。2004年，黑客继续对美国高校以及科研机构的超级计算机进行攻打，并造成美国最大的科研网间断数天处于瘫痪状态。2013年10月，京都大学根底物理学研究所和筑波大学科学研究核心的超级计算机被黑客入侵。日文部迷信省就此事件发表意见说，要求两所大学彻底确保安全措施。2013年12月，一位宾夕法尼亚女子试图抛售包含美国国家平安实验室的超级计算机拜访权限，被判处了18月的徒刑。值得一提的是，该“超算”次要波及国家进攻、生物平安、能源以及人工智能等重要工作。但随着2017年前后CPU挖矿的再次衰亡，为黑客攻击超级计算机提供了经济上的能源。在俄罗斯甚至产生过核设施工作的科学家未经批准，希图将计算机用于“挖矿”加密货币的案例。 这一系列常见事件中，到底是超算机构风险管理不到位？还是黑客入侵手法太高超？在产业互联网行将迈入“新基建”时代，这一系列安全事故又给企业平安敲响了怎么的警钟？ 威逼情报：信息安全的“透视之眼” “超算挖矿”受到黑客青眼，皆因超算具备极大的数据存储容量和极疾速的数据处理速度两大劣势，尤其是挖矿木马等沉闷家族的呈现，更是让其计算力间接转换为价值。超算畛域体现的黑客威逼发展趋势，同样影响着数量泛滥的企业。 依据腾讯平安公布的《2019年企业平安威逼报告》，40%的企业终端每周至多遭逢一次病毒攻打，其中勒索病毒、挖矿木马仍是企业平安两大外围威逼。 各类高级和未知威逼迭代演变，让企业对于威逼情报的需要也日益升高，这表明威逼情报在企业重要决策中的参考权重大幅回升。而据寰球最大信息安全培训机构SANS考察数据显示，有80%的组织认为本人从威逼情报中获益。 作为一种数据型常识，威逼情报其实是不能独自存在带来价值的，只有跟传统的一些平安的防护形式一起，能力对整个企业的平安做到全方位的保障。 就威逼情报来说，它承当的作用次要有三块： 第一块是最根底的经营级威逼情报；第二块是威逼情报的溯源和剖析；第三块是策略级的威逼情报。总体来说，威逼情报对企业的作用来说，是能够更快、更好地去减少咱们对于这个新的威逼的防护能力。 与黑客攻防这场没有硝烟的和平中，威逼情报实际上表演了重要的角色。去年5月，腾讯平安曾帮助警方侦破一项黑产团伙通过挖矿木马牟利的重大网络立功事件。其中，腾讯平安威逼情报中心通过多维度剖析系列病毒木马的技术特点，最终判断这系列病毒背地是由同一个立功组织管制，胜利帮助警方破案。 这一点对于以后的中国来说尤为重要。2020年诸多重大事件让中国定下了“新基建”的跑道，“5G”、“AI”、“大数据”等新趋势的减速降临，将进一步促成网络空间与物理空间的连通和交融。 值得重点关注的是，互联网的无缝浸透以及信息安全保护措施的缺失，使得诸多政企、机构等成为重灾区，作为网络攻防第一关卡，威逼情报逐步被更多政企、机构作为危险预知的“保护伞”。 “新基建”的平台稳不稳，够不够平安，是数字经济能不能安心唱好戏的要害。是否为“新基建”搞好基建，成为对网络安全工作部署的一大考验。 在这样的大趋势下，企业应尽快引入与业务倒退需要相匹配、专业化、体系化的信息安全解决方案，构建可知、可见、可控的信息安全网络。