国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全安全管理 應用案例 網(wǎng)絡威脅 系統(tǒng)安全 應用安全 數(shù)據(jù)安全 云安全
當前位置: 主頁 > 信息安全 > 安全管理 >

紅色十月惡意軟件攻擊的歸因思考

時間:2013-03-11 15:10來源: 點擊:
卡巴斯基實驗室于1月14日宣布發(fā)現(xiàn)紅色十月(Red October)惡意軟件攻擊,它們對這個異常復雜的僵尸網(wǎng)絡的來源進行了分析。 紅色十月惡意軟件攻擊的歸因思考
Tags紅色十月(2)  

  卡巴斯基實驗室于1月14日宣布發(fā)現(xiàn)紅色十月(Red October)惡意軟件攻擊,它們對這個異常復雜的僵尸網(wǎng)絡的來源進行了分析。根據(jù)卡巴斯基實驗室的分析顯示,紅色十月中使用的似乎經(jīng)過俄羅斯開發(fā)人員的編碼,而針對Word和Excel的漏洞利用被認為是由中國黑客所創(chuàng)建。然而,這些猜測都突顯了攻擊歸因的難度,至少一些取證專家認為找出“幕后黑手”的努力可能會白費。

  E-Fensive Security Strategies高級安全工程師Jesus Oquendo表示,大多數(shù)用于歸因的方法都存在缺陷,不管它們的支持者如何吹捧。Oquendo在網(wǎng)絡安全論壇倡議在防御網(wǎng)絡空間操作工程師課程中教授進攻安全性、惡意軟件分析和逆向工程。在調查攻擊來源時,通常檢查的元素包括:分析IP地址、使用關鍵字搜索、檢查任何所使用的代碼,以及普通的猜測工具—該領域的專家更愿意稱之為“推斷”。但Oquendo說:“就是這些,沒有其他什么方法了,真的沒有其他可靠的方法來調查攻擊歸因。”

  歸因問題的癥結是高度純熟的攻擊者可以通過操縱這些元素來甩掉研究人員的追蹤,并在很多情況下,他們還會策劃牽連無關的第三方?!把芯咳藛T面臨的問題要比攻擊者的問題大得多,”專門從事計算機取證和開源智能(OSINT)技術的網(wǎng)絡安全專家Scot Terban表示,“攻擊者想要盡可能地撇清自己與罪犯的關系,讓那些試圖找出誰做了什么的研究人員陷入混沌之中?!?/P>

  IP地址分析

  大多數(shù)研究人員會檢查與攻擊有關的IP地址,但熟練的攻擊者很有可能會在被他們感染的第三方網(wǎng)絡中周旋。Terban表示:“日志中攻擊了你的資源的IP地址可能只是一顆棋子,并且,這個IP可能只是在另一顆棋子指使下的受感染的機器?!?/P>

  Oquendo表示同意,他指出,IP地址可以提供對攻擊結構的信息,但對歸因沒有多大用處。大多數(shù)攻擊者(特別是高度技術性的攻擊者)都是非常精通于在‘雷達下飛行’,如果攻擊者能夠保持攻擊五年而不被發(fā)現(xiàn)——正如紅色十月背后的攻擊者那樣,你怎么知道他們是否真的是研究人員在日志中發(fā)現(xiàn)的IP地址或netblock所關聯(lián)的對象?

  讓問題復雜化的是,精明的攻擊者往往會通過歷來不配合國際調查的國家來路由攻擊。Terban表示:“很多時候,作為中介的/系統(tǒng)位于其他國家,研究人員很難獲得調查許可證,即使拿到了,也很難查看日志?!監(jiān)quendo說:“攻擊者選擇與其他國家沒有任何司法互動的國家、以及互相看不順眼的國家是有道理的,這使得政府部門無法合作調查這些犯罪,”

  關鍵字搜索和詞法分析

  研究人員還會進行詞法分析和關鍵字搜索,來查找術語或其他語言來將攻擊者關聯(lián)到已知個人或實體,例如紅色十月可執(zhí)行代碼中發(fā)現(xiàn)的俄羅斯俚語。但這樣的術語也可能是攻擊者用于誤導研究人員的。

  Oquendo 表示:“舉個例子,如果一名研究人員發(fā)現(xiàn)一些東西發(fā)音類似‘紅色龍’,他們可能會到中國。而實際上,這個惡意軟件或的編寫者可能剛好是電影‘紅色龍’的粉絲,或者只是為了混淆視聽。而一些供應商和媒體會在這方面進行深挖,并認定中國就是罪魁禍首?!?/P>

  研究人員使用的另一種技術是收集開源情報—通過監(jiān)控社交媒體、論壇和中繼,來查找與特定攻擊相關的內容。Terban指出:“通過監(jiān)測開源信息,研究人員也許能夠知道誰在攻擊誰以及原因?!碑斎?,這些媒體也可能是受攻擊者的操縱,以擺脫自己的罪名,或者牽連到第三方。

  推理和直覺

  決策者并不需要確切的歸因來做出決定,因為大部分時候智能從來都不是100%可靠,但仍然要作出決策。通常,歸因工作往往歸結為猜測工作。Terban表示:“更細致的方法開始被用于確定攻擊者的歸因,但歸因可能不是來自這些確鑿的證據(jù),而是來自推理和直覺?!?/P>

  歸因重要嗎?

  如果說,歸因這么難,為什么這么重視它?有些人可能會說,這可以歸結為一種報復的心理,但Oquendo 指出,“除了防病毒供應商宣傳滿足他們的財務和經(jīng)濟需要。從政府方面來看,他們可以很容易地將這類攻擊行動的矛頭指向其選定的敵對國。這是政府的邏輯方法,然而,作出決定的人并不是技術領域的人,所以,他們通常會依賴于從一開始就搞錯歸因的‘專家’?!?/P>

  或者正如Terban所說:“我們太重視歸因了,在我們考慮追蹤竊取了我們數(shù)據(jù)的敵人之前,我們需要先審視自己?!?/P>

相關文章
------分隔線----------------------------

推薦內容