free性中国hd野外pαge1,自拍自录videosfree自拍自录,日本乱偷中文字幕

網(wǎng)站首頁(yè) > 社會(huì)調(diào)查 > 事件揭秘 > 閱讀信息

邱實(shí) 牟承晉：十年來(lái)最復(fù)雜和持久的入侵攻擊 ——深度剖析“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞安全事件

點(diǎn)擊：作者：邱實(shí) 牟承晉來(lái)源：昆侖策網(wǎng)【原創(chuàng)】發(fā)布時(shí)間:2021-01-26 08:55:42

特朗普政府揭露的涉嫌干預(yù)總統(tǒng)大選的“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞安全事件，并未因?yàn)榘莸钦胫靼讓m而平息。

進(jìn)一步深度分析，確認(rèn)攻擊者采用遞進(jìn)持續(xù)性戰(zhàn)役行動(dòng)的戰(zhàn)術(shù)、技術(shù)和過(guò)程，是近十年來(lái)最復(fù)雜和持久的入侵攻擊之一。一定程度上顛覆了業(yè)內(nèi)人士對(duì)網(wǎng)信安全防御傳統(tǒng)方法的認(rèn)知。

原美國(guó)國(guó)家安全局（NSA）網(wǎng)信安全局局長(zhǎng)安妮•紐伯格（Anne Neuberger），出任新一屆美國(guó)國(guó)家安全委員會(huì)副安全顧問(wèn)，其履新的首要任務(wù)，就是應(yīng)對(duì)和處理“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞安全事件。可見(jiàn)問(wèn)題嚴(yán)重性。

一、“太陽(yáng)風(fēng)”事件簡(jiǎn)單回顧

2020年12月8日，火眼（FireEye）公司宣布軟件工具被竊，疑似是俄羅斯的外國(guó)情報(bào)局（SVR）或其他由國(guó)家資助的攻擊者所為。

12月14日，美國(guó)國(guó)家安全委員會(huì)啟動(dòng)第41號(hào)總統(tǒng)政策指令（PPD-41，奧巴馬政府制定的應(yīng)急計(jì)劃），召開(kāi)網(wǎng)信安全事件應(yīng)急響應(yīng)小組會(huì)議，成立了由聯(lián)邦調(diào)查局（FBI）、中央情報(bào)局（CIA）和國(guó)家情報(bào)總局辦公室（ODNI）共同組成的網(wǎng)信統(tǒng)一協(xié)調(diào)小組（UCG：Unified Coordination Group）。

同日，GoDaddy公司將入侵“太陽(yáng)風(fēng)”中所使用的惡意域名的指揮與控制權(quán)交給了微軟，使微軟能夠激活被其稱之為“獨(dú)奏門”（Solorigate）惡意軟件中的“終止開(kāi)關(guān)”（Kill Switch），以便及時(shí)發(fā)現(xiàn)被“太陽(yáng)風(fēng)”感染的用戶。

提示：美國(guó)GoDaddy公司的主要業(yè)務(wù)，是網(wǎng)絡(luò)域名注冊(cè)和域名托管及應(yīng)用服務(wù)。

二、相關(guān)術(shù)語(yǔ)的定義和概念

1）“專業(yè)入侵/攻擊”（hands-on-keyboard intrusion/attack），不是依賴于自動(dòng)執(zhí)行任務(wù)的程序腳本，是由黑客親自動(dòng)手入侵被攻擊的系統(tǒng)。

“專業(yè)入侵”通常是黑客利用泄露或竊取的證書(shū)，滲透內(nèi)部網(wǎng)絡(luò)的賬戶，或利用沒(méi)有防護(hù)的服務(wù)器中的遠(yuǎn)程桌面協(xié)議（RDP），侵入目標(biāo)網(wǎng)絡(luò)，然后通過(guò)這些賬戶或系統(tǒng)所提供的合法訪問(wèn)權(quán)限，實(shí)施跨網(wǎng)絡(luò)的遞進(jìn)滲透，并逐步獲得更多訪問(wèn)權(quán)限的竊取途徑。由于對(duì)網(wǎng)絡(luò)或設(shè)備訪問(wèn)的合法性，一般很難察覺(jué)到異?；顒?dòng)。

2）“生成與對(duì)抗”（Adversary Simulations and Red Team Operations）模式，“生成”是模擬高級(jí)對(duì)手在網(wǎng)信入侵/攻擊中的戰(zhàn)術(shù)和技術(shù)；“對(duì)抗”是測(cè)試和評(píng)估己方的能力以保護(hù)關(guān)鍵資產(chǎn)，以及避免在現(xiàn)實(shí)中被作為攻擊目標(biāo)。

其中，“Cobalt Strike”是被用于“生成與對(duì)抗”的測(cè)試和評(píng)估軟件工具。近年來(lái)已發(fā)現(xiàn)，“Cobalt Strike”被黑客利用作為入侵滲透的工具。在“太陽(yáng)風(fēng)”安全事件中，火眼（FireEye）公司的軟件工具被竊，與“Cobalt Strike”相關(guān)。

3）域名服務(wù)的“信標(biāo)”（DNS Beacon），是“Cobalt Strike”進(jìn)行滲透測(cè)試的主要功能。

被入侵的設(shè)備利用DNS請(qǐng)求將“信標(biāo)”發(fā)送給指揮與控制的域名服務(wù)器，DNS響應(yīng)通過(guò)“信標(biāo)”通知被入侵的設(shè)備進(jìn)入休眠，或連接指揮與控制的域名服務(wù)器下載任務(wù)，以及獲取如何執(zhí)行任務(wù)的指令。

請(qǐng)注意，目前的主流防病毒（AV）系統(tǒng)檢測(cè)，往往忽略了入侵滲透。“Cobalt Strike”為規(guī)避檢測(cè)所采用的主要是兩種技術(shù)：⑴ 可移植的惡意代碼（shellcode）；⑵ 利用域名應(yīng)用數(shù)據(jù)，形成可塑的指揮與控制（malleable C2）。

其中，DNS“信標(biāo)”滲透測(cè)試方式被黑客所采用，部署指揮與控制的域名服務(wù)器，注冊(cè)一系列虛假子域名作為“信標(biāo)”，與其他攻擊工具結(jié)合，形成持續(xù)的入侵攻擊鏈（或應(yīng)用供應(yīng)鏈）。“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞安全事件是一個(gè)典型案例。

三、微軟對(duì)“太陽(yáng)風(fēng)”漏洞的深入分析

微軟公司的深入分析和研究報(bào)告指出，對(duì)“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞的調(diào)查仍在繼續(xù)挖掘新的細(xì)節(jié)?；趯?duì)威脅數(shù)據(jù)的分析和研究表明，在安全漏洞背后的攻擊者是熟練的戰(zhàn)役策劃人員，他們精心計(jì)劃和實(shí)施攻擊，保持持久性的同時(shí)繼續(xù)遞進(jìn)滲透。同時(shí)，揭示了入侵鏈（或供應(yīng)鏈）中的指揮與控制（C2），以及在線專業(yè)手動(dòng)攻擊的能力和趨勢(shì)，證明這是近十年來(lái)最復(fù)雜和持久的入侵攻擊之一。

該報(bào)告對(duì)網(wǎng)信入侵和攻擊的“戰(zhàn)術(shù)、技術(shù)和過(guò)程”（TTP，Tactics，Techniques，Procedures）相關(guān)方式及方法，歸納如下：

1）網(wǎng)信入侵攻擊鏈與戰(zhàn)術(shù)、技術(shù)和過(guò)程

洛克希德•馬丁公司2010年10月提出的網(wǎng)信“入侵攻擊鏈”（Cyber Kill Chain，又稱為是攻防鏈），經(jīng)過(guò)不斷完善，成為常規(guī)性規(guī)范。其中七個(gè)環(huán)節(jié)中的每一個(gè)環(huán)節(jié)都包含戰(zhàn)術(shù)、技術(shù)和過(guò)程（TTP）。

在“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞中的入侵攻擊鏈如圖2：

其中：

● 戰(zhàn)術(shù)：通過(guò)可移植的惡意代碼（shellcode），在動(dòng)態(tài)鏈接庫(kù)文件（dll）和可執(zhí)行文件（exe）中植入后門或惡意代碼。

● 技術(shù)：在網(wǎng)絡(luò)、文件、注冊(cè)、處理的階段中運(yùn)用或結(jié)合各種工具和手段，達(dá)到預(yù)期目的。例如，在圖3中的階段1和階段7，分別利用DNS 的“域名生成算法”（簡(jiǎn)稱DGA）以及加密的指揮與控制（HTTPS C2）。

● 過(guò)程：通過(guò)后門竊取目標(biāo)數(shù)據(jù)和情報(bào)。包括：通過(guò)DNS建立連接，生成、植入和刪除文件，指揮與控制，竊取情報(bào)等操作。

2）指揮與控制進(jìn)和在線專業(yè)攻擊

“太陽(yáng)風(fēng)”安全事件被認(rèn)定是精心策劃的戰(zhàn)役行動(dòng)，具備熟練的指揮與控制技能，如圖3：

其中，在線“專業(yè)攻擊”（hands-on-keyboard attack），指的是由黑客親自動(dòng)手入侵被攻擊的系統(tǒng)，而不是依賴于自動(dòng)執(zhí)行任務(wù)的程序腳本，因而更為隱蔽，且（戰(zhàn)役）行動(dòng)規(guī)模大、持續(xù)時(shí)間長(zhǎng)，使得有效的指揮與控制不可或缺。

3）對(duì)竊取和利用“Cobalt Strike”入侵滲透的測(cè)試發(fā)現(xiàn)，“太陽(yáng)風(fēng)”的后門（“獨(dú)奏門”），被連接到經(jīng)過(guò)修改的“Cobalt Strike”入侵滲透工具，并由此在動(dòng)態(tài)鏈接庫(kù)文件（dll）中植入惡意代碼。

“Cobalt Strike”入侵滲透工具側(cè)重于對(duì)未修補(bǔ)的漏洞和錯(cuò)誤配置的測(cè)試，卻被黑客所利用，而目前主流的防病毒（簡(jiǎn)稱AV）系統(tǒng)卻對(duì)此缺失檢測(cè)能力。

四、入侵攻擊鏈與供應(yīng)鏈

“太陽(yáng)風(fēng)”安全事件的持續(xù)時(shí)序和入侵攻擊鏈以及在線專業(yè)（手動(dòng)）方式和方法，使得這次戰(zhàn)役行動(dòng)的組織與協(xié)調(diào)、指揮與控制的復(fù)雜性和持久性，令人震驚。同時(shí)也警示，這不是第一次（可能存在未知），也不會(huì)是最后一次，而是代表了網(wǎng)信領(lǐng)域安全與防御長(zhǎng)期斗爭(zhēng)的趨勢(shì)。

“Cobalt Strike”滲透測(cè)試工具的開(kāi)發(fā)目的，本是用于安全防御“生成與對(duì)抗”的評(píng)估和能力提升，卻被黑客所利用，且缺失防范。尤其是被作為網(wǎng)信入侵攻擊鏈中的指揮與控制的DNS“信標(biāo)”，卻是“Cobalt Strike”對(duì)抗?jié)B透的測(cè)試工具的主要功能。由此，入侵攻擊鏈與應(yīng)用供應(yīng)鏈?zhǔn)遣⒋婧鸵来娴年P(guān)系，如圖4：

換句話說(shuō)，從對(duì)入侵攻擊鏈的來(lái)龍去脈研究，以及戰(zhàn)術(shù)、技術(shù)和過(guò)程的分析，有助于發(fā)現(xiàn)應(yīng)用供應(yīng)鏈中未知的、潛在的風(fēng)險(xiǎn)和隱患。反之，從對(duì)應(yīng)用供應(yīng)鏈的偵測(cè)和滲透，能夠獲得入侵和攻擊的精準(zhǔn)、降維定位。

另一方面，在開(kāi)放、共享、創(chuàng)新的信息環(huán)境中，供應(yīng)鏈對(duì)正常的研發(fā)、集成和應(yīng)用必不可少，同時(shí)對(duì)攻防鏈也是不可或缺。其中，在網(wǎng)信空間的“武器化”沒(méi)有明確的邊界或界限，即任何技術(shù)和工具都不是中立的，既可以“載舟”，亦可以“覆舟”。

五、入侵攻擊鏈的指揮和控制

從圖1、圖2、圖3可見(jiàn)，不論是對(duì)抗性的滲透測(cè)試工具“Cobalt Strike”，還是“太陽(yáng)風(fēng)”的后門“獨(dú)奏門”（Solorigate），DNS“信標(biāo)”（Beacon）被作為是入侵指揮與控制的載體。

特別是在圖1中，入侵和攻擊的指揮與控制域名服務(wù)器，可以與遞歸域名解析服務(wù)器并列（混用），或（偽裝）作為是公共域名服務(wù)器而難以區(qū)分真假。

根據(jù)持續(xù)的實(shí)時(shí)統(tǒng)計(jì)（2021-1-24/00:16，僅限于端口53和運(yùn)行UDP協(xié)議），全球共有1,926,062臺(tái)公共域名服務(wù)器。其中：

中國(guó)（大陸）的公共域名服務(wù)器在全球數(shù)量中占比38.8%，且這個(gè)比例是在動(dòng)態(tài)變化。例如：2020年10月22日的數(shù)量為1,106,552臺(tái)，占全球總數(shù)的46.2%。

不得不面對(duì)不可否認(rèn)的嚴(yán)峻事實(shí)：中國(guó)（大陸）域名空間的入口是完全敞開(kāi)的，處于良莠不齊的混沌狀況和監(jiān)管缺失的狀態(tài)。如果其中有被作為DNS“信標(biāo)”的入侵指揮與控制，實(shí)難以發(fā)現(xiàn)。

2021年1月14日，美國(guó)國(guó)家安全局（NSA）發(fā)布一份網(wǎng)信安全指南：“在政府部門網(wǎng)絡(luò)中采用加密的DNS”。其中要求，政府部門的局域網(wǎng)絡(luò)必須應(yīng)用指定的域名遞歸解析服務(wù)器，并強(qiáng)制性禁止使用公共域名服務(wù)器，從信息通信技術(shù)及服務(wù)（ICTS）供應(yīng)鏈的“最后一公里”，切斷DNS“信標(biāo)”作為入侵指揮與控制的連接。

簡(jiǎn)化的信息通信技術(shù)及服務(wù)（ICTS）供應(yīng)鏈如圖5 ：

綜上，目前對(duì)“太陽(yáng)風(fēng)”安全事件的分析和研究，引發(fā)了全球?qū)π畔⑼ㄐ偶夹g(shù)及服務(wù)（ICTS）供應(yīng)鏈安全的重視及再認(rèn)識(shí)。雖然其影響和后果仍在調(diào)查及評(píng)估之中，由于美國(guó)國(guó)家安全委員會(huì)的直接介入，可見(jiàn)問(wèn)題的嚴(yán)重性（包括反制和打擊措施）。

微軟報(bào)告中，三個(gè)關(guān)聯(lián)的術(shù)語(yǔ)概念及入侵/攻擊的行為特征，值得關(guān)注，并非“太陽(yáng)風(fēng)”僅有的關(guān)聯(lián)問(wèn)題（或挑戰(zhàn)）。茲商榷：

1） “專業(yè)入侵/攻擊”（hands-on-keyboard intrusion/attack），是由黑客親自動(dòng)手入侵被攻擊的系統(tǒng)，而不是依賴于自動(dòng)執(zhí)行任務(wù)的程序腳本。對(duì)于這種以（竊?。┖戏ㄔL問(wèn)權(quán)限實(shí)施跨網(wǎng)絡(luò)的遞進(jìn)滲透，基于模式匹配的傳統(tǒng)漏洞掃描或病毒檢測(cè)方法，是否能有效發(fā)現(xiàn)？

2）“Cobalt Strike”是用于應(yīng)對(duì)網(wǎng)信入侵“生成與對(duì)抗”的有償開(kāi)源軟件工具，側(cè)重于對(duì)未修補(bǔ)漏洞和錯(cuò)誤配置的測(cè)試，目前發(fā)布的版本是4.2。當(dāng)使用這個(gè)測(cè)試工具時(shí)，是否能發(fā)現(xiàn)入侵或攻擊者也同時(shí)在使用（或供應(yīng)鏈中潛在“黃雀在后”）？

3）DNS“信標(biāo)”（Beacon）是利用DNS 服務(wù)所設(shè)置的隱蔽隧道（Covert Tunnel），不僅可以作為指揮與控制的載體，而且可以用作（通過(guò)TCP協(xié)議）數(shù)據(jù)傳輸。在目前的DNS服務(wù)供應(yīng)鏈上，DNS“信標(biāo)”是當(dāng)前網(wǎng)信安全防御中存在的一個(gè)缺失，應(yīng)當(dāng)如何應(yīng)對(duì)？

重要建議：“太陽(yáng)風(fēng)”網(wǎng)管軟件漏洞安全事件，應(yīng)作為提升與推進(jìn)網(wǎng)信安全認(rèn)識(shí)的動(dòng)力之一，加強(qiáng)基礎(chǔ)研究，切實(shí)搞清楚源頭和底層的東西，從而加固信息通信技術(shù)及服務(wù)（ICTS）供應(yīng)鏈安全以及數(shù)據(jù)安全，積極推進(jìn)數(shù)據(jù)治理。

（作者：邱實(shí)，網(wǎng)絡(luò)信息安全專家；牟承晉，昆侖策研究院高級(jí)研究員、中國(guó)移動(dòng)通信聯(lián)合會(huì)國(guó)際戰(zhàn)略研究中心主任、浙江省北斗未來(lái)網(wǎng)際網(wǎng)絡(luò)空間研究院首席研究員。來(lái)源：昆侖策網(wǎng)【原創(chuàng)】）

【本公眾號(hào)所編發(fā)文章歡迎轉(zhuǎn)載，為尊重和維護(hù)原創(chuàng)權(quán)利，請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明原創(chuàng)作者、來(lái)源網(wǎng)站和公眾號(hào)。閱讀更多文章，請(qǐng)點(diǎn)擊微信號(hào)最后左下角“閱讀原文”】

【昆侖策研究院】作為綜合性戰(zhàn)略研究和咨詢服務(wù)機(jī)構(gòu)，遵循國(guó)家憲法和法律，秉持對(duì)國(guó)家、對(duì)社會(huì)、對(duì)客戶負(fù)責(zé)，講真話、講實(shí)話的信條，追崇研究?jī)r(jià)值的客觀性、公正性，旨在聚賢才、集民智、析實(shí)情、獻(xiàn)明策，為實(shí)現(xiàn)中華民族偉大復(fù)興的“中國(guó)夢(mèng)”而奮斗。歡迎您積極參與和投稿。