David+Geer

利用豐富的資源發(fā)現(xiàn)攻擊，整頓松垮的基礎(chǔ)設(shè)施。

據(jù)F-Secure的“2017年網(wǎng)絡(luò)安全狀況”報(bào)告，犯罪黑客使用基本的腳本式技術(shù)對(duì)維護(hù)不良的基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊。只要存在攻擊腳本以及大量安全性不高的網(wǎng)絡(luò)，這種情形就會(huì)持續(xù)下去。

SafeTreach首席技術(shù)官和聯(lián)合創(chuàng)始人Itzik Kotler說(shuō)，攻擊腳本的數(shù)量正在攀升，因?yàn)楹诳途⒉粩嚅_(kāi)發(fā)這類(lèi)腳本并將其賣(mài)給其他人。這種趨勢(shì)看起來(lái)沒(méi)有任何停止的跡象。

那么什么是腳本？

腳本式攻擊就是使用腳本?？▋?nèi)基梅隆大學(xué)SEI CERT部門(mén)的團(tuán)隊(duì)負(fù)責(zé)人Michael Cook說(shuō)：“腳本是一系列自動(dòng)執(zhí)行的命令或者計(jì)算機(jī)任務(wù)。”利用腳本，攻擊者能夠編排好很多同時(shí)進(jìn)行的攻擊，否則他們必須手動(dòng)執(zhí)行每一攻擊，每次一個(gè)。

攻擊者從幾種腳本語(yǔ)言中選擇他們的腳本，包括Bash、Ruby、Python、PowerShell、Visual Basic、JavaScript等。Cook說(shuō)，所選擇的語(yǔ)言可以是他們最熟悉的、最適合攻擊路徑中必要步驟的，也可以是與他們計(jì)劃攻擊的系統(tǒng)兼容的語(yǔ)言。因此，攻擊者會(huì)在其攻擊中使用多種腳本語(yǔ)言。Cook解釋說(shuō)，攻擊者還可以使用打包器，使腳本在不兼容的環(huán)境中工作。

攻擊者使用腳本自動(dòng)完成攻擊的每個(gè)階段。Kotler說(shuō)，一些腳本是掃描程序，執(zhí)行ping掃描以確定某些IP地址范圍是否存在并連接了網(wǎng)絡(luò)；掃描程序還執(zhí)行端口掃描以發(fā)現(xiàn)正在運(yùn)行的服務(wù)是哪種類(lèi)型。Kotler解釋說(shuō)，如果運(yùn)行的服務(wù)版本有漏洞，腳本甚至可以啟動(dòng)適當(dāng)?shù)氖侄蝸?lái)攻擊該漏洞。

腳本的功能不僅這些。據(jù)Kotler，腳本可以使用DNS枚舉功能來(lái)列舉出潛在的目標(biāo)——這一過(guò)程識(shí)別DNS服務(wù)器并收集服務(wù)器信息，執(zhí)行強(qiáng)力攻擊，使用SSH或者遠(yuǎn)程桌面工具上的常用用戶(hù)名和密碼進(jìn)行遠(yuǎn)程登錄。

安全專(zhuān)業(yè)人士可以參考很多網(wǎng)絡(luò)資源，以戰(zhàn)勝腳本式攻擊?？梢栽贑ERT上找到關(guān)于新攻擊的提醒，并跟蹤下去。OWASP會(huì)發(fā)布定制的Web應(yīng)用程序攻擊?？梢允褂肅VE詳細(xì)信息來(lái)跟蹤新的漏洞。Kotler說(shuō)，您可以關(guān)注推特和IRC渠道上的對(duì)話(huà)，以及GitHub上的項(xiàng)目和項(xiàng)目研討。Kotler補(bǔ)充說(shuō)：“SafeBreach維護(hù)著一本黑客手冊(cè)，跟蹤黑客使用的最新技術(shù)?！?/p>

黑帽黑客的目的

VMware的高級(jí)工程架構(gòu)師Dennis Moreau說(shuō)，腳本技術(shù)甚至可以使腳本小程序編排好網(wǎng)絡(luò)攻擊的整個(gè)生命周期，包括識(shí)別潛在的受害者、編排攻擊、偵察、識(shí)別下一個(gè)受害者、偷取數(shù)據(jù)和攻擊后清理。Moreau說(shuō)：“舊金山MUNI攻擊提供了一些實(shí)例，包括銷(xiāo)毀證據(jù)（在票據(jù)終端）、勒索軟件（勒索后恢復(fù)功能），以及偷竊和利用員工信息等?！?/p>

Cook說(shuō)，腳本足以破壞計(jì)算機(jī)，構(gòu)建出用于DDoS攻擊的僵尸網(wǎng)絡(luò)，收集信用卡信息或者其他PII，還能夠在勒索軟件攻擊中對(duì)重要文件和系統(tǒng)進(jìn)行加密。Cook指出：“攻擊者付出一定的成本來(lái)編寫(xiě)攻擊腳本，之后就能夠成功地訪(fǎng)問(wèn)大量的系統(tǒng)，在攻擊目標(biāo)上獲取其最大利益?！?/p>

黑帽黑客可以輕松地定制他們的腳本。當(dāng)針對(duì)企業(yè)開(kāi)發(fā)其基于腳本的攻擊時(shí)，犯罪黑客可以采用新手段成功地完成攻擊。Kotler解釋道：“通過(guò)嵌入這些自動(dòng)化的方法，并在其上添加一個(gè)未打補(bǔ)丁的新漏洞，例如，零日漏洞，黑帽黑客可以創(chuàng)建新的自我傳播蠕蟲(chóng)。”

整頓您的基礎(chǔ)設(shè)施，以對(duì)抗腳本式攻擊

Kotler說(shuō)，為整頓您的基礎(chǔ)設(shè)施，可以采用與犯罪黑客所使用的相同的過(guò)程——即，自動(dòng)化過(guò)程。Kotler說(shuō)：“通過(guò)自動(dòng)手段并模擬對(duì)手，公司能夠了解攻擊者的意圖，預(yù)先主動(dòng)找到問(wèn)題，或者在無(wú)法修復(fù)時(shí)進(jìn)行監(jiān)控。”

Cook說(shuō)，為準(zhǔn)備好應(yīng)對(duì)腳本式攻擊，首先要了解您的網(wǎng)絡(luò)。通過(guò)頻繁的安全掃描、網(wǎng)絡(luò)映射、帳戶(hù)權(quán)限審核和滲透測(cè)試來(lái)發(fā)現(xiàn)漏洞。使用全面的補(bǔ)丁管理功能、正確地配置并強(qiáng)化系統(tǒng)來(lái)解決漏洞問(wèn)題；重置權(quán)限，使用戶(hù)和設(shè)備只擁有完成工作所需的最低權(quán)限。 所有這一切使企業(yè)能夠關(guān)閉安全漏洞，減少漏洞，發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題，并建立寶貴的安全環(huán)境，借助有限的資源做出明智的安全決策。進(jìn)一步的工作步驟包括了解您的系統(tǒng)、組件和服務(wù)應(yīng)該做什么，不應(yīng)該做什么，在此基礎(chǔ)上在防火墻、IPS和Web應(yīng)用防火墻上實(shí)現(xiàn)最低權(quán)限安全策略，作為最基本的網(wǎng)絡(luò)安全環(huán)境，同時(shí)定期檢查這一策略。

Moreau說(shuō)，您還應(yīng)該對(duì)數(shù)據(jù)中心進(jìn)行劃分，以防止一次成功的攻擊侵散到整個(gè)數(shù)據(jù)中心。把這種分段式的劃分作為基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)中心（東/西流量）內(nèi)雙向數(shù)據(jù)流的可見(jiàn)性并進(jìn)行控制。Moreau說(shuō)：“結(jié)果的可見(jiàn)性將顯示出攻擊期間的異常行為，這些行為會(huì)嘗試避開(kāi)/擊敗您的端點(diǎn)保護(hù)措施；利用安全分析解決方案把顯示出來(lái)的網(wǎng)絡(luò)行為與正常行為以及潛在的惡意行為模式進(jìn)行比較。”

CIS基準(zhǔn)測(cè)試頁(yè)面等可靠的網(wǎng)站提供了關(guān)于擊敗腳本技術(shù)的詳細(xì)信息，針對(duì)各種平臺(tái)提出了安全（強(qiáng)化）配置建議。其他可參考的網(wǎng)站包括提供免費(fèi)安全評(píng)估的CERT、提供有關(guān)新攻擊資料的Carnegie Mellon，而IEEE上有關(guān)于網(wǎng)絡(luò)安全實(shí)現(xiàn)的文章。