美國有線電視新聞網(wǎng)(CNN)3月13日報道稱,經(jīng)過近一個月調(diào)查發(fā)現(xiàn),俄羅斯操縱網(wǎng)絡(luò)輿論的“巨魔軍隊”繼2016年以來繼續(xù)利用網(wǎng)絡(luò)假消息干擾本屆美國大選。該機構(gòu)長期從事網(wǎng)絡(luò)虛假消息活動,秘密設(shè)置大量偽造的 Twitter、Facebook以及其他社交媒體賬戶,以蠱惑西方民眾。2016年,俄羅斯的“巨魔工廠”位于圣彼得堡的一個辦公大樓,而今年,則將該工廠移到了地處西非的加納和尼日利亞,顯然,這次的手法更隱蔽,更具針對性、更難識別和跟蹤。
網(wǎng)絡(luò)輿論干擾國家大選是網(wǎng)絡(luò)空間常見的一種攻擊形式,隨著網(wǎng)絡(luò)空間在世界各國經(jīng)濟、政治、軍事等領(lǐng)域戰(zhàn)略制高點地位的提升,以及國家、組織間日益劇增的各種樣式的網(wǎng)絡(luò)攻擊的頻繁出現(xiàn),如何對網(wǎng)絡(luò)攻擊進行追蹤溯源,成為當今國際社會備受關(guān)注的網(wǎng)絡(luò)空間安全問題。
一、 引 言
網(wǎng)絡(luò)攻擊追蹤溯源,美國軍方的說法是“Attribution”,中文直譯為“歸因”,一般指追蹤網(wǎng)絡(luò)攻擊源頭、溯源攻擊者的過程。也有研究將“Traceback”和“Source Tracking”視為與“Attribution”同等意義。
近年來備受關(guān)注的APT(Advanced Persistent Threat,高級持續(xù)性威脅)就是一種典型的網(wǎng)絡(luò)攻擊表現(xiàn)形式,這種攻擊針對特定目標(用戶、公司或者組織)發(fā)起攻擊,直接目的是隱蔽竊密或者破壞關(guān)鍵基礎(chǔ)設(shè)施。與DDos為代表的攻擊類型不同的是,后者沒有區(qū)分攻擊的指向性,APT則頻繁使用跳板主機、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務進行網(wǎng)絡(luò)攻擊,追蹤溯源難度更大。
二、 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)研究現(xiàn)狀
1. 全球態(tài)勢
(1) 近十年全球APT典型案例
2010年, 震網(wǎng)攻擊了伊朗的核工業(yè)基礎(chǔ)設(shè)施, 造成約1000臺鈾濃縮離心機故障,遲滯了伊朗核計劃,這是全球第一起引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件。2015 年初起,孟加拉等多國的SWIFT 銀行轉(zhuǎn)賬系統(tǒng)先后遭到攻擊,累計造成了近1億美元的經(jīng)濟損失。2015年,烏克蘭一家電力公司的SCADA系統(tǒng)遭到入侵,造成22.5萬用戶長達數(shù)小時的電力中斷,給民眾生活和國家安全造成了嚴重危害。2016年美國大選期間,“郵件門”丑聞引起美國政壇的巨大震動, 影響了美國大選走向。還有報告顯示2019年烏克蘭大選、2018年韓國平昌冬奧會、2017 年法國大選、2016 年臺灣民選、2014年烏克蘭大選, 也不同程度地受到了 APT 的干擾。
(2) 近十年ATP典型事件及溯源結(jié)論
2. 研究現(xiàn)狀
以Cohen D為代表的研究團隊將網(wǎng)絡(luò)攻擊追蹤溯源劃分為追蹤溯源攻擊主機、追蹤溯源攻擊控制主機、追蹤溯源攻擊者、追蹤溯源攻擊組織機構(gòu)四個級別。首選在追蹤溯源第一層上使用Input Debugging、Itrace、PPM、DPM、SPIE等網(wǎng)絡(luò)數(shù)據(jù)包層面的技術(shù)方法;其次,第二層上使用內(nèi)部監(jiān)測、日志分析、網(wǎng)絡(luò)流分析、事件響應分析等技術(shù);再次,在第三層上總結(jié)的自然語言文檔分析、Email分析、聊天記錄分析、攻擊代碼分析、鍵盤信息分析等技術(shù)。
另一種具有代表性的研究方法則是根據(jù)不同的攻擊場景,將網(wǎng)絡(luò)攻擊追蹤溯源劃分為虛假IP追蹤、Botnet追蹤、匿名網(wǎng)絡(luò)追蹤、跳板追蹤和局域追蹤五類問題,并將解決這五類問題的技術(shù)方法歸納為4中類型:包標記、流水印、日志記錄和滲透測試。其中,包標記方法主要包括Itrace、PPM、DPM 技術(shù),其作為網(wǎng)絡(luò)數(shù)據(jù)包層面的追蹤溯源方法,難以應對復雜的以APT為代表類型的網(wǎng)絡(luò)攻擊。流水印技術(shù)不需要修改協(xié)議, 也適用于加密流量, 甚至可以用來追蹤溯源一些以匿名網(wǎng)絡(luò)為跳板的網(wǎng)絡(luò)攻擊,但是流水印技術(shù)需要大量匿名網(wǎng)絡(luò)基礎(chǔ)設(shè)施的支持,因而不易實施,同時在技術(shù)上要保證水印檢測的準確率也有一定難度存在。日志記錄技術(shù)則是一種被動追蹤溯源方法, 存在所記錄的信息有限、可能被攻擊者篡改的問題。滲透測試的方法可以為網(wǎng)絡(luò)攻擊的追蹤溯源提供關(guān)鍵突破, 但是技術(shù)難度大并且存在司法可信性方面的疑問。
3. 存在不足
目前的研究基于的攻擊場景多為諸如DDos的非定向網(wǎng)絡(luò)攻擊,沒有區(qū)分攻擊的指向性,在應對類似APT等頻繁使用跳板主機、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務的網(wǎng)絡(luò)攻擊時,追蹤溯源能力有限。
從技術(shù)細節(jié)來看, 現(xiàn)有技術(shù)手段以被動追蹤溯源技術(shù)為主, 缺少主動獲取追蹤溯源關(guān)鍵信息方面的研究。網(wǎng)絡(luò)攻擊的隱蔽性和匿名性符合“木桶原理”, 因此, 追蹤溯源的突破往往取決于若干少量的核心關(guān)鍵線索。被動追蹤溯源收集到的是攻擊者有意或無意泄露的信息, 線索質(zhì)量難以滿足溯源方的預期。需要結(jié)合主動溯源進行主動出擊, 在司法允許的范圍內(nèi),結(jié)合陷阱、誘捕、欺騙和軟硬件特性利用等方法, 同時在攻擊目標和攻擊者兩端獲取高質(zhì)量的關(guān)鍵溯源線索。
從系統(tǒng)性來看, 各類追蹤溯源技術(shù)獨立使用、各自為戰(zhàn), 而缺少定向網(wǎng)絡(luò)攻擊追蹤溯源的整體模型研究。模型研究作為基礎(chǔ)性工作, 可以有效整合現(xiàn)有策略、資源和技術(shù)手段,并應用于網(wǎng)絡(luò)和系統(tǒng)的各個層面上, 形成面向追蹤溯源的縱深化防御體系。
總體來看, 現(xiàn)有研究成果大多面向非定向網(wǎng)絡(luò)攻擊,而缺少專門面向定向網(wǎng)絡(luò)攻擊追蹤溯源的理論和技術(shù)的研究。定向網(wǎng)絡(luò)攻擊是應用和業(yè)務層面上而非網(wǎng)絡(luò)層面上的攻擊,更具隱蔽性、匿名性、持久性和復雜性,追蹤溯源的難度更大。同時, 定向網(wǎng)絡(luò)攻擊使用的攻擊工具和攻擊方法,也和非定向網(wǎng)絡(luò)攻擊有著顯著的區(qū)別。因此,在定向網(wǎng)絡(luò)攻擊追蹤溯源理論和技術(shù)方面, 需要進一步地創(chuàng)新。
三、 現(xiàn)有主流網(wǎng)絡(luò)攻擊溯源技術(shù)
1. 威脅情報技術(shù)
為了更加準確高效地追蹤溯源網(wǎng)絡(luò)攻擊, 工業(yè)界提出了威脅情報(Threat Intelligence)這一概念。Gartner 曾給出了比較通用的威脅情報定義:威脅情報是一種基于證據(jù)的知識,包括威脅相關(guān)的上下文信息 (Context) 、 威 脅 所 使 用 的 方 法 機 制(Mechanisms)、威脅指標(Indicators)、攻擊影響(Implications)以及應對建議(Actionable advices)等。威脅情報描述了現(xiàn)存的或者即將出現(xiàn)的針對資產(chǎn)的威脅或危險, 并可以用于通知受害一方針對威脅或危險采取應對措施。
2013年,David J. Bianco在總結(jié)威脅指標(IOC,Indicator of Compromise)類型及其攻防對抗價值的基礎(chǔ)上, 建立了威脅情報價值金字塔模型(The Pyramid of Pain), 該模型揭示了防御者追蹤溯源到不同的威脅指標時, 會導致攻擊者付出的代價大小。2014年初,美國建立網(wǎng)絡(luò)威脅情報整合中心,負責對各部門收集的情報分析,并為其他部門提供分析報告,加強應對網(wǎng)絡(luò)威脅。2015年,研究學者楊澤明等明確指出“威脅情報的共享利用將是實現(xiàn)攻擊溯源的重要技術(shù)手段”。目前,CERT、防病毒公司,安全服務公司,非政府安全組織等建立了各自的在線威脅情報平臺, 提供查詢和分析服務, 可以查看安全預警公告、漏洞公告、威脅通知等,幫助追蹤溯源網(wǎng)絡(luò)攻擊。
威脅情報在網(wǎng)絡(luò)攻擊追蹤溯源方面的優(yōu)勢在于其海量多來源知識庫以及情報的共享機制。這些情報可以為追蹤溯源工作提供有力支撐: 防御者將已掌握的溯源線索作為輸入傳遞給威脅情報系統(tǒng),后者通過關(guān)聯(lián)和挖掘, 不斷拓展線索的邊界, 輸出大量與已知線索存在關(guān)聯(lián)的新線索。利用威脅情報“一鍵溯源”(自動化追蹤溯源),是近年來學術(shù)界和工業(yè)界研究的熱點。
圖1 威脅情報追蹤溯源原理圖
2. Web客戶端追蹤技術(shù)
Web客戶端追蹤技術(shù),主要是指用戶使用客戶端(通常是指瀏覽器)訪問Web網(wǎng)站時,Web服務器通過一系列手段對用戶客戶端進行標記和識別,進而關(guān)聯(lián)和分析用戶行為的技術(shù)。基于瀏覽器及插件存儲機制(如Cookie)的Web追蹤,是該領(lǐng)域最早使用也是最廣為人知的技術(shù)。隨著前端技術(shù)的發(fā)展,許多新的Web追蹤機制應運而生。近年來,有研究提出使用指紋技術(shù)跨網(wǎng)站追蹤瀏覽器用戶。
(1) Cookie追蹤
1) Cookie同步
Cookie同步是指用戶訪問某A網(wǎng)站時,該網(wǎng)站通過頁面跳轉(zhuǎn)等方式將用戶的Cookie發(fā)送到B網(wǎng)站,使得B網(wǎng)站獲取到用戶在A網(wǎng)站的用戶隱私信息,研究人員通過訪問了Alexa排名前1500網(wǎng)站,發(fā)現(xiàn)兩個追蹤者進行Cookie同步以后,可以把數(shù)據(jù)完全共享,就像是一個追蹤者一樣。
2) Evercookie
用戶可以通過清空瀏覽器緩存等方式,清除已保存的Cookie,Evercookie將Cookie通過多種機制保存到系統(tǒng)多個地方,如果用戶刪除其中某幾處的Cookie, Evercookie仍然可以恢復Cookie,如果開啟本地共享對象(Local Shared Objects),Evercookie甚至可以跨瀏覽器傳播。
(2) 瀏覽器指紋
1) 基本指紋
基本指紋是任何瀏覽器都具有的特征標識,比如硬件類型(Apple)、操作系統(tǒng)(Mac OS)、用戶代理(Useragent)、系統(tǒng)字體、語言、屏幕分辨率、瀏覽器插件 (Flash,Silverlight, Java, etc)、瀏覽器擴展、瀏覽器設(shè)置(Do-Not-Track, etc)、時區(qū)差(BrowserGMT Offset)等眾多信息。
2) 高級指紋
高級指紋是基于HTML5的方法,包括Canvas指紋、AudioContext指紋等。Canvas是HTML5中動態(tài)繪圖的標簽,每個瀏覽器生成不一樣的圖案。AudioContext生成與Canvas類似的指紋,前者是音頻,后者是圖片。
3) 硬件指紋
硬件指紋主要通過檢測硬件模塊獲取信息,作為對基于軟件的指紋的補充,主要的硬件模塊有:GPU's clock frequency、Camera、Speakers/Microphone、Motion sensors、GPS、Battery等。
4) 綜合指紋
Web世界的指紋碰撞不可避免,將上述基本指紋和高級指紋綜合起來,計算哈希值作為綜合指紋,可以大大降低碰撞率。即為綜合指紋。
(3) 跨瀏覽器指紋
上述指紋都是基于瀏覽器進行的,同一臺電腦的不同瀏覽器具有不同的指紋信息,這樣造成的結(jié)果是,當同一用戶使用同一臺電腦的不同瀏覽器時,服務方收集到的瀏覽器指紋信息不同,無法將該用戶進行唯一性識別,進而無法有效分析該用戶的的行為。學者研究了一種跨瀏覽器的瀏覽器指紋,其依賴于瀏覽器與操作系統(tǒng)和硬件底層進行交互進而分析計算出指紋,這種指紋對于同一臺電腦的不同瀏覽器也是相同的。
(4) WebRTC
WebRTC(網(wǎng)頁實時通信,Web Real Time Communication),是一個支持網(wǎng)頁瀏覽器進行實時語音對話或視頻對話的API,功能是讓瀏覽器實時獲取和交換視頻、音頻和數(shù)據(jù)。基于WebRTC的實時通訊功能,可以獲取客戶端的IP地址,包括本地內(nèi)網(wǎng)地址和公網(wǎng)地址。
Web 客戶端追蹤技術(shù)在網(wǎng)絡(luò)攻擊中扮演著重要角色, 不僅是攻擊者探測社工信息的重要平臺, 還是投遞攻擊載荷的重要通道。瀏覽器指紋在溯源方面的一個重要應用場景便是跨網(wǎng)站追蹤:攻擊者同時擁有一個已公開的身份和一個未公開的身份,雖然兩個身份訪問了不同的網(wǎng)站, 但可以提取到相同的瀏覽器指紋, 這就可以通過指紋關(guān)聯(lián)來溯源攻擊者的真實身份。
3 網(wǎng)絡(luò)欺騙技術(shù)
網(wǎng)絡(luò)欺騙技術(shù)(Cyber Deception)由蜜罐技術(shù)演化而來。Gartner 將網(wǎng)絡(luò)欺騙技術(shù)定義為:使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程, 擾亂攻擊者的自動化工具, 延遲或阻斷攻擊者的活動, 通過使用虛假的響應、有意的混淆、以及假動作、誤導等偽造信息達到“欺騙”的目的。
網(wǎng)絡(luò)欺騙技術(shù)主要包括欺騙環(huán)境構(gòu)建和蜜餌部署。欺騙環(huán)境構(gòu)建依賴于虛擬化技術(shù)和蜜罐技術(shù), 前者主要目的是模擬真實內(nèi)網(wǎng), 構(gòu)建一個包括主機和網(wǎng)絡(luò)拓撲的高仿真欺騙基礎(chǔ)環(huán)境;后者則是在欺騙環(huán)境中部署包括大量泛業(yè)務的應用級蜜罐群。蜜餌部署主要是在可能的攻擊路徑上放置虛假的誘騙信息, 如代碼注釋、數(shù)字證書、Robots 文件、管理員密碼、SSH 秘鑰、VPN 秘鑰、郵箱口令、ARP 記錄、DNS 記錄等, 從而誘使攻擊者進入可控的欺騙環(huán)境。
網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)攻擊追蹤溯源方面的作用與優(yōu)勢可歸納為三個方面:
第一,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊, 此為追蹤溯源的前提。網(wǎng)絡(luò)欺騙通過部署虛假環(huán)境和蜜餌, 吸引和誤導攻擊者, 一旦這些正常用戶難以觸及的資源被訪問, 則表明網(wǎng)絡(luò)極有可能正在被攻擊。
第二,粘住網(wǎng)絡(luò)攻擊, 為溯源網(wǎng)絡(luò)攻擊贏得時間和機會。防御者通過欺騙手段將網(wǎng)絡(luò)攻擊逐步吸引至虛假的欺騙環(huán)境, 可以消耗攻擊者的時間、精力和資源,減少其攻擊重要真實系統(tǒng)的可能, 還能夠大量暴露其 TTP, 從而為制定針對性的防御策略, 乃至溯源反制贏得主動。
第三,威懾網(wǎng)絡(luò)攻擊, 其核心能力是追蹤溯源。如果攻擊者意識到已落入欺騙陷阱, 這本身對其就是一種巨大的心理威懾,攻擊行為已被發(fā)現(xiàn), 溯源線索可能已經(jīng)暴露。此外, 攻擊者長期處于欺騙環(huán)境的監(jiān)視之下, 防御者有充足的時間和空間部署工具、設(shè)置機關(guān), 開展網(wǎng)絡(luò)攻擊追蹤溯源工作, 從而形成反制和威懾。
四、 啟 示
首先,網(wǎng)絡(luò)攻擊的追蹤溯源是一門藝術(shù):沒有單純的技術(shù)方法可能程式化、計算、量化或全自動實現(xiàn)溯源,無論這種技術(shù)是簡單的還是復雜的。高質(zhì)量的溯源取決于各種技巧、工具以及組織文化,合作順暢的團隊、能力突出的個人、豐富的經(jīng)驗。
其次,網(wǎng)絡(luò)攻擊的溯源依賴于政治風險。某個事件帶來的后果越嚴重、造成的損失越大,政府在確定攻擊者時可投入的資源和政治資本就會越多。在對某次攻擊所采取的所有響應,包括執(zhí)法、外交或軍事手段中,溯源是最基本的一項工作,即首先需要明確攻擊者是誰。政府決定如何開展溯源,以及溯源到何種程度就足以采取回應行動。
未來網(wǎng)絡(luò)攻擊追蹤溯源會以一種“自相矛盾”的方式進行演變。
一方面,溯源正在變得更容易。更完善的入侵偵測系統(tǒng)能實時發(fā)現(xiàn)攻擊,能更快地調(diào)用更多的數(shù)據(jù)。適應更強的網(wǎng)絡(luò)將提高攻擊行為的成本,消除不確定因素,節(jié)省出資源以更好的識別高級攻擊。網(wǎng)絡(luò)犯罪增多,能推動執(zhí)法部門、甚至是不友好的國家間的跨部門合作,這也將使國對國的間諜行為更加難以隱藏,政治成本更高。
另一方面溯源也變得更加困難。攻擊者能從被公開的錯誤中汲取教訓。強加密技術(shù)使用的增多也給取證制造了更多的問題,制約了大規(guī)模數(shù)據(jù)的搜集。事實上,由于沒有出現(xiàn)重大的后果,國家與非國家行為體可能不怎么擔心被抓個正著,導致動力不足,溯源疲勞癥也開始出現(xiàn)。
