■李茜

揭秘你的數(shù)據(jù)如何不翼而飛

■李茜

大多數(shù)人都認(rèn)為應(yīng)該防止黑客的入侵，但是一旦黑客進(jìn)入了你們內(nèi)部，他們又是如何將數(shù)據(jù)弄到外面的？Trustwave公司SpiderLabs的研究向我們揭示的答案往往非常簡單。

網(wǎng)絡(luò)犯罪分子在攻擊的方法上變得越來越復(fù)雜。我們也往往將此等同于數(shù)據(jù)潛回的方法。盡管移動設(shè)備或物理盜賊也可以利用，但是數(shù)據(jù)的潛回或輸出通常都是在網(wǎng)絡(luò)渠道的系統(tǒng)上復(fù)制數(shù)據(jù)過程中發(fā)生的。

SpiderLabs 2009年對24個(gè)不同國家的200起數(shù)據(jù)違規(guī)事件進(jìn)行了調(diào)查。雖然網(wǎng)絡(luò)犯罪分子從違規(guī)環(huán)境中獲取數(shù)據(jù)的方法多種多樣，但是他們?nèi)肭帜硞€(gè)環(huán)境的方法往往都是通過遠(yuǎn)程訪問那些被目標(biāo)企業(yè)使用的應(yīng)用程序。45%的違規(guī)事件是因?yàn)檫h(yuǎn)程訪問應(yīng)用而使系統(tǒng)遭到違規(guī)的。并且不是零日漏洞攻擊或復(fù)雜的應(yīng)用程序漏洞，攻擊現(xiàn)象看起來與IT員工和CEO在外出過程中遠(yuǎn)程連接網(wǎng)絡(luò)并無太大差異。攻擊者也不需要通過蠻力獲得賬戶。SpiderLabs發(fā)現(xiàn)，90%的攻擊事件得以成功因?yàn)楣?yīng)商違約或易被猜透的密碼，例如"temp:temp"或"admin:nimda"。

一旦確立一個(gè)立足點(diǎn)，攻擊者往往使用網(wǎng)絡(luò)列舉工具。網(wǎng)絡(luò)列舉工具往往被攻擊者用來挖掘同一環(huán)境中的其他目標(biāo)或檢索系統(tǒng)信息用，例如用戶名、組權(quán)限、網(wǎng)絡(luò)共享和可用服務(wù)。如果列舉工具收集到了噪音就可以排除受到攻擊的可能。糟糕的是，我們發(fā)現(xiàn)多數(shù)機(jī)構(gòu)都沒有適當(dāng)?shù)貙ψ约旱南到y(tǒng)進(jìn)行監(jiān)測，因此無法覺察到這些現(xiàn)象。

一旦攻擊者獲得目標(biāo)企業(yè)的訪問權(quán)限，他們就會使用手動或者自動的方法獲取數(shù)據(jù)。使用手動方法可以盜取有漏洞的數(shù)據(jù)庫和文件，使用特定的關(guān)鍵字進(jìn)一步確定數(shù)據(jù)就可進(jìn)行操作系統(tǒng)的搜索。

自動的方法主要是編寫專門的惡意軟件，利用處理機(jī)密信息的應(yīng)用程序的安全控件中的漏洞來達(dá)到目的。一般來說，許多應(yīng)用的安全設(shè)計(jì)并不適用于別的控件，數(shù)據(jù)處理組件的報(bào)警功能也不明確。雖然數(shù)據(jù)是由目標(biāo)系統(tǒng)處理的，但可接收、儲存加密數(shù)據(jù)并將數(shù)據(jù)傳輸?shù)缴嫌沃鳈C(jī)的目標(biāo)系統(tǒng)易受到數(shù)據(jù)違規(guī)。這是因?yàn)橄到y(tǒng)處理數(shù)據(jù)必須被解密為RAM，以便應(yīng)用程序可以使用。

前文我們已經(jīng)講了黑客會利用惡意軟件盜取數(shù)據(jù)，下面我們來看一些常用的應(yīng)用如何被黑客用來盜竊數(shù)據(jù)，最后專家還給出了應(yīng)對措施。

平均來說，網(wǎng)絡(luò)犯罪分子獲取目標(biāo)系統(tǒng)或數(shù)據(jù)訪問權(quán)限的時(shí)間是156天。在這段時(shí)間內(nèi)，攻擊者進(jìn)入環(huán)境，設(shè)置他們的工具來移動數(shù)據(jù)，并在IT人員或部門對他們的行動采取行動之前獲取數(shù)據(jù)。2009年的一些調(diào)查顯示，一些網(wǎng)絡(luò)犯罪分子經(jīng)常在三年內(nèi)頻繁活動。2009年比較典型的長期的檢測，似乎還運(yùn)用了一些知識，網(wǎng)絡(luò)犯罪分子的活動不是隱形的。

在多個(gè)案例中，網(wǎng)絡(luò)犯罪分子使用遠(yuǎn)程訪問程序方便第一次進(jìn)入提取數(shù)據(jù)。其他的現(xiàn)有服務(wù)，如本地FTP和HTTP客戶端功能，也經(jīng)常被用來進(jìn)行數(shù)據(jù)滲漏。尤其是當(dāng)惡意軟件被用來數(shù)據(jù)滲漏的時(shí)候，F(xiàn)TP、SMTP和IRC功能就會被定期觀察。在對特制惡意軟件進(jìn)行逆向分析的過程中，二進(jìn)制會泄露FTP功能的存在，包括硬編碼IP地址和證書。有了現(xiàn)成的惡意軟件，如按鍵記錄器，攻擊者往往用內(nèi)置的FTP和郵件功能滲漏數(shù)據(jù)。當(dāng)郵件服務(wù)被用來提取數(shù)據(jù)的時(shí)候，攻擊者往往會直接安裝惡意的SMTP服務(wù)器到遭受違規(guī)的系統(tǒng)中，以確保數(shù)據(jù)可以正常地傳送。

只有個(gè)別情況的數(shù)據(jù)滲漏使用了加密渠道，進(jìn)一步表明犯罪分子不關(guān)注警報(bào)是否存在。由于本地可用網(wǎng)絡(luò)服務(wù)的存在，以及缺乏適當(dāng)?shù)某隹谶^濾并且使用了不適當(dāng)?shù)南到y(tǒng)檢測做法，犯罪分子往往使用可用的網(wǎng)絡(luò)服務(wù)或安裝他們自己的基礎(chǔ)服務(wù)。很顯然，在所有的案例中，敏感數(shù)據(jù)被輸送到了目標(biāo)環(huán)境之外。在這一過程中，IT安全團(tuán)隊(duì)根本不會監(jiān)測到數(shù)據(jù)泄漏的發(fā)生。

在尋找攻擊跡象的時(shí)候，IT安全團(tuán)隊(duì)似乎期望情況時(shí)復(fù)雜的。而攻擊者往往非常簡單，甚至可能在例行的日志審查中表現(xiàn)為“良性”。數(shù)據(jù)沒有離開目標(biāo)環(huán)境之前，不會有跡象表明遭到了違規(guī)。密切關(guān)注“標(biāo)準(zhǔn)”系統(tǒng)的“正?！被顒有袨槭潜苊馔鲅蜓a(bǔ)牢的重要措施。應(yīng)該用懷疑的視角審視每一個(gè)不正常的行為并通過內(nèi)部調(diào)查的做法解決問題，如果必要的話還應(yīng)該請外部專家進(jìn)行再審。