博客 » FreeWAF

27

FreeWAF-1.4.1 版本发布(2015-05-27)

最新版本信息

FreeWAF 1.4.1 (2015-05-27)

1. 版本

2. 防护引擎和网管更新

  • 修订防护引擎提交配置时出现持续卡死的问题;
  • 修订防护引擎在重启时刻出现的子进程内部线程间同步问题;
  • 修订日志服务器中的一个Coredump问题;
  • 修订日志服务器因为特殊信号而中止进程的问题;
  • 修订日志服务器中缓存日志失败次数值统计错误问题;
  • 修订网页防篡改的一个Coredump问题;
  • 优化网页防篡改的篡改监控中篡改磁盘状态的显示问题;

27

FreeWAF-1.4.1 版本发布(2015-05-27)

最新版本信息

FreeWAF 1.4.1 (2015-05-27)

1. 版本

2. 防护引擎和网管更新

  • 修订防护引擎提交配置时出现持续卡死的问题;
  • 修订防护引擎在重启时刻出现的子进程内部线程间同步问题;
  • 修订日志服务器中的一个Coredump问题;
  • 修订日志服务器因为特殊信号而中止进程的问题;
  • 修订日志服务器中缓存日志失败次数值统计错误问题;
  • 修订网页防篡改的一个Coredump问题;
  • 优化网页防篡改的篡改监控中篡改磁盘状态的显示问题;

31

FreeWAF-1.4.0 版本发布(2015-03-31)

最新版本信息

FreeWAF 1.4.0 (2015-03-31)

1. 版本

2. 防护引擎和网管更新

  • 优化防护引擎处理过程,性能提高一倍;
  • 优化日志写入数据库过程,提高批量插入性能;
  • 反向代理模式中的“多服务器代理”增加负载均衡支持;
  • 修复一个可能导致防护引擎崩溃的问题;
  • 修复网桥模式下,网桥配置不正常的问题;
  • 修复网桥模式下配置服务器策略,管理日志不正确的问题;
  • 修复访问监控/客户端环境行为/搜索链接中,访问方式统计表中横坐标时间异常的问题;

3. 用户手册更新

  • FreeWAF使用指南更新;
  • FreeWAF命令参考更新。

Notice

如果用户有需要不同Linux平台的FreeWAF 版本,请在论坛的Tickets板块中进行登记,FreeWAF团队尽力予以支持。

19

FreeWAF-1.3.0 版本发布(2015-01-19)

最新版本信息

FreeWAF 1.2.2 (2014-10-28)

1. 版本

2. 防护引擎和网管更新

  • 反向代理模式增加“多服务器代理”,使一个FreeWAF可以代理多个服务器、域名;
  • 新增域名白名单功能,用于适应中国ICP备案机制;
  • CentOS版ISO安装过程中增加网络配置;
  • 增加数据库用户密码修改功能;
  • 增加清除访问、攻击、管理、篡改日志的功能按钮;
  • 系统首页改为防护、防篡改信息展示;
  • “配置向导”改为“快速配置”,增加各个模式的说明及示意图;
  • “快速配置”中的网桥配置,增加网桥IP配置项;
  • 安全防护中的“黑名单/白名单”中添加了各个列表的说明信息;
  • 修复Cli配置正则表达式时,不能使用’?'的问题;
  • 修订邮件代理里面邮件地址不能带“.”的问题;
  • 修复CentOS版ISO在一些虚拟化平台安装上不兼容的问题;
  • 修复攻击监控时间显示不准确的问题;
  • 修复其他的一些问题。

3. 安全策略更新

  • 修订URL Referer黑名单的误报问题;
  • 调整CC攻击检测默认参数,以减少误报;
  • 调整SQL注入检测对动态黑名单的使用方式;
  • 安全策略的默认策略中,默认禁用了一些容易产生误报影响用户访问的规则。

4. 用户手册更新

  • FreeWAF安装手册更新;
  • FreeWAF使用指南更新;
  • FreeWAF命令参考更新。

30

FreeWAF-1.2.2 版本发布(2014-10-28)

最新版本信息

FreeWAF 1.2.2 (2014-10-28)

1. 版本

2. 防护引擎和网管更新

  • 对配置文件一些敏感信息进行加密存储;
  • 修改了防护引擎以及其他组件连接数据库时连接信息的获取方式;
  • 修订日志服务器有时内存占用过大的Bug;
  • 优化日志和自学习数据传输方式,以提高防护引擎的处理效率;
  • 修订Web网管“网络监控”中时间、数据不对应的问题;
  • 修订Web网管“报表管理”中导入域名列表显示乱码的问题;
  • 修订Web网管报表前N名统计错误问题、以及时间数据不对应问题;
  • 修订初始安装FreeWAF后,Web网管定时报表不能正常工作的问题;
  • 修订Web网管中一些安全漏洞;
  • 修订CentOS版本的Web网管不能查看防篡改备份目录的Bug;
  • 更改网管Logo图标;
  • 更改Web网管意见反馈页面,增加体验报告页面;
  • 增加系统更新功能,包括在线更新、离线更新。

3. 安全规则更新

  • 增加合法的请求关键词;
  • 增加爬虫攻击的检测关键词;
  • 更新文件包含攻击检测规则,并且增加了一些检测文件包含的常用词;
  • 更新命令注入攻击的一些检测关键词;
  • 增加了代码注入攻击检测中PHP注入的检测方式;
  • SSI、LDAP、代码注入、SQL注入、XSS攻击检测中排除一些域的检测,以减少误报;
  • 增加了若干新XSS的检测方式;
  • 更新、丰富了路径遍历的检测关键词;
  • 合并简化目录索引检测规则;
  • 增加Microsoft Office文档属性泄露检测;

06

警惕医疗设备遭遇“黑客”

目前美国媒体曝出,医院里的大多数医疗设备都存在着被黑客入侵的风险:按剂量注射药物的“药物输液泵”可被远程控制而改变预先设定的输入剂量;具备蓝牙连接功能的心脏电击器可能被远程控制而给予病患不恰当的电击次数;X光成像等隐私数据或重置医用冰箱的恒温数据可通过入侵医院网络访问等。这些看似只能在科幻电影里出现的操控医疗设备的场景已经成为现实。
早在2011年8月,在拉斯维加斯的黑帽子大会上,一名叫作杰罗姆·拉德克利夫的信息安全研究员就演示了利用网络攻击糖尿病患者实施谋杀的案例。去年美国政府已经出台了相关指导意见,要求医疗设备厂家设置更加安全的加密机制,在出厂前进行安全检查。
我国,在许多移动医疗的会议上,专家们都指出,发展个人可穿戴医疗设备的物联网时代就要到来。目前可穿戴式医疗设备主要聚焦于采集个人生理数据,如采集心跳、血压、脉搏、体温等信息,并通过无线网络发往医疗数据中心,从而实现对用户健康状况的检查;未来除了对健康状况预警之外,可能会更进一步对病人进行远程医疗,如哮喘、糖尿病人等,检测到病人将要发作时,直接通过设备为病人输入药物。
而在业内专家看来,无线网络同样也“方便”了黑客的访问。黑客不需要通过物理接触,只需处于设备无线信号范围内,即可监听设备发出的信息数据。
通常,设备通信的信息是被加密的,如果无法破解,对黑客的价值不大。由于一些加密漏洞、密码太脆弱或者黑客的计算资源足够强大,黑客有机会对加密进行破解时,就能还原出原始信息,甚至接入无线网络。黑客如果破解了无线网络信息,就可以伪装成设备的合法控制方,读取设备数据;如果设备本身提供了操控或篡改数据的远程接口,黑客就很容易进行远程操控。

12

安全领域中的大数据分析

我们需要付出更多的努力,用保护隐私的价值观培育新一代的计算机科学家和工程师,并跟他们一起开发出设计大数据系统的工具,从而让大数据系统能遵循普遍认可的隐私准则。

企业定期收集几TB与安全相关的数据(比如网络事件、软件应用程序事件,以及人员活动事件), 用来作合规性和事后取证分析。据估计,不同规模的大型企业每天发生的事件在上百亿到上千亿之间。随着企业启用的事件记录源越来越多,雇用的员工越来越多, 部署的设备越来越多,运行的软件越来越多,这些数值还会继续增长。不幸的是,这种数据量和多样性会迅速变成骆驼背上的稻草。现有分析技术无法应对大规模数 据,通常都会产生很多误报,因此功效被削弱了。随着企业向云架构迁移,并且收集的数据越来越多,这个问题进一步恶化了。

分 析—信息的大规模分析和处理—在几个领域用的热火朝天,并且最近这些年,因其承诺以前所未有的规模高效地分析和关联与安全相关的数据,也引起了安全社区的 兴趣。然而,对安全而言,传统数据分析和大数据分析之间的差异并不是那么直观。毕竟信息安全社区十多年来一直在利用网络流量、系统日志和其它信息源的分析 甄别威胁,检测恶意活动,而这些传统方式跟大数据有何不同还不清楚。

为了解决这个问题,还有其它问题,云安全联盟(CSA)在2012年成立了大数据工作组。这个工作组由来自业内的和院校的志愿者组成,共同确定这一领域内的原则、纲领及所面临的挑战。它最新的报告, “安全智能中的大数据分析”,重点探讨了大数据在安全领域中的作用。在这份报告中,详细阐述了利用大量结构化和非结构化数据的新工具的介入及广泛使用如何改变了安全分析领域。它还罗列了一些跟传统分析的基本差异,并指出了一些可能的研究方向。我们对这份报告中的一些关键点做了汇总。

 

大数据分析的进展

数据驱动的信息安全数据可以支撑银行的欺诈检测和基于异常的入侵监测系统(IDSs)。尽管为了取证和入侵检测,对日志、网络流和系统事件进行分析 已经是信息安全社区面对了十多年的问题了,然而出于几个原因,传统技术有时候对长期的、大规模的分析支持力度不够:首先是以前保留大量的数据在经济上不可 行。因此在传统的基础设施中,大多数事件日志和其他记录的计算机活动在一个固定的保留期(比如60天)后就被删除了。其次,在那种不完整,还很嘈杂的大 型、非结构化数据集上执行分析和复杂查询的效率很低下。比如说,几个流行的信息安全和事件管理(SIEM)工具都不支持对非结构化数据的分析和管理,被严 格限定在预定义的数据方案上。然而,因为大数据应用程序可以有效地清理、准备、查询那些异构的、不完整的、嘈杂格式的数据,所以它们也开始成为信息安全管 理软件的一部分。最后,大型数据仓库的管理传统上都很昂贵,并且它们的部署通常需要很强的业务案例。而Hadoop 框架和其它大数据工具现在将大规模的、可靠的集群部署商品化了,因此在数据处理和分析上出现了新的机会。

欺诈检测是大数据分析中最显眼的应用:信用卡和电话公司开展欺诈检测的历史已经有几十年了;然而从经济角度来看,必须用定制的基础设置来挖掘大数据做欺诈检测并不适于大规模采用。大数据技术的一个主要影响是它们让很多行业的企业能够承担构建基础设施来做安全监测的开支。

特别是新的大数据技术,比如Hadoop生态圈 (包括 Pig、Hive、 Mahout 和RHadoop)、流挖掘、复杂事件处理和NoSQL数据库—能够以前所未有的规模和速度分析大规模的异构数据集。这些技术通过促进安全信息的存储、维 护和分析改变着安全分析。比如说,WINE平台1和Bot-Cloud2 允许使用MapReduce高效 地处理数据做安全分析。通过观察过去十年安全工具的反应发生了什么样的变化,我们可以找出其中的一些趋势。当IDS探测器的市场增长时,网络监测探测器和 日志工具被部署到了企业网络中;然而,管理这些分散的数据源发过来的警告变成了一个很有挑战性的任务。结果安全厂商开始开发SIEMs ,致力于把警告信息和其它网络统计数据整合并关联起来,通过一个仪表板把所有信息呈现给安全分析人员。现在,大数据工具将更加分散数据源,时间范围更长的 数据关联、整合和归纳整理起来交给安全分析人员,改进了安全分析人员可获取的信息。

Zions  Bancorporation最近给出的一个案例研究可以让我们见到大数据工具的具体收益。它的研究发现,它所处理的数据质量和分析的事件数量比传统的 SIEM(在一个月的数据负载中搜索要花20分钟到一个小时的时间)多出很多。在它用Hive运行查询的新Hadoop 系统中,相同的结果大概在一分钟左右就出来了。3 采用驱动这一实现的安全数据仓库,用户不仅可以从防火墙和安全设备中挖掘有意义 的安全信息,还能从网站流、业务流程和其他日常事务中挖掘。将非结构化的数据和多种不同的数据集纳入一个分析框架中是大数据的特性之一。大数据工具还特别 适合用作高级持续性威胁(APT)的检测和取证的基础工具。4,5 APT的运行模式又低又慢(即执行时不引人注意,而时间又很 长);因此,它们可能会持续很长时间,而受害者却对入侵毫无所知。为了检测这些攻击,我们需要收集并关联大量分散的数据(包括来自内部数据源的数据和外部 共享的智能数据),并执行长期的历史相关性风险,以便纳入网络历史上发生过的攻击的后验信息。

 

挑战

尽管在处理安全问题上,大数据分析应用程序的希望很显著,但我们必须提出几项挑战,从而去认识到它真正的潜力。在行业中分享数据,隐私特别重要,并且要避免违背数据重用的隐私原则法规,也就是说只能将数据用于收集它的目的。直到最近,隐私在很大程度上还取决于在抽取、分析和关联潜在敏感数据集能力上的技术局限性上。然而,大数据分析的发展为我们提供了抽取和关联这种数据的工具,让破坏隐私更容易了。因此,我们 必须在了解隐私法规及推荐实践的情况下开发大数据应用程序。尽管在某些存在隐私法规的领域—比如说,在美国,美国联邦通信委员跟电信公司的合作,健康保险 隐私及责任法案指出的医疗数据,几个州的公用事业委员会限制智能电网数据的使用,以及联邦贸易委员会正在制定Web活动的指导方针—所有这些活动都扩大了 系统的覆盖范围,并且在很多情况下都会有不同的解读。即便有隐私法规在,我们也要懂得,那样大规模的数据收集和存储会吸引社会各界的关注,包括产业界(将 我们的信息用在营销和广告上),政府(会强调这些数据对国家安全或法律执行很有必要)和罪犯(喜欢盗取我们的身份)。因此,作为大数据应用程序的架构师和 设计者,我们要积极主动地创造出保障措施,防止对这些大数据库存的滥用。

另外一个挑战是数据出处的问题。因为大数据让我们可以扩充用于处理的数据源,所以很难判断出哪个数据源符合我们的分析算法所要求的可信赖度,以便能 生产出准确的结果。因此,我们需要反思工具中所用数据的真实性和完整性。我们可以研究源自对抗性机器学习和稳健统计的思路,找出并减轻恶意插入数据的影 响。

这个特别的CSA报告聚焦于大数据分析在安全方面的应用,但另一方面是用安全技术保护大数据。随着大数据工具不断被部署到企业系统中,我们不仅要利 用传统的安全机制(比如在Hadoop内部集成传输层安全协议),还要引入新工具,比如Apache的Accumulo,来处理大数据管理中独有的安全问 题。

最后,这个报告中还有一个没有覆盖到,但还需要进一步开发的领域,即人机交互,特别是可视化分析如何帮助安全分析人员解读查询结果。可视化分析是通 过交互式可视化界面促进推理分析能力的科学。跟为了高效计算和存储而开发的技术机制相比,大数据中的人机交互受到的关注比较少,但它也是大数据分析达成 “承诺”必不可少的基础工具,因为它的目标是通过最有效的展示方式将信息传达给人类。大数据正在改变着用于网络监测、SIEM和取证的安全技术景观。然 而,在进攻和防守永远不会停歇的军备竞赛中,大数据不是万能的,安全研究人员必须不断探索新的方式来遏制老练的攻击者。大数据还会让维持控制个人信息的泄 漏变成持续不断的挑战。因此,我们需要付出更多的努力,用保护隐私的价值观培育新一代的计算机科学家和工程师,并跟他们一起开发出设计大数据系统的工具, 从而让大数据系统能遵循普遍认可的隐私准则。

参考资料

  1. T. Dumitras and D. Shou, “Toward a Standard Benchmark for Computer Security Research: The Worldwide Intelligence Network Environment (WINE),” Proc. EuroSys BADGERS Workshop, ACM, 2011, pp. 89–96.
  2. J. François et al., “BotCloud: Detecting Botnets Using MapReduce,” Proc. Workshop Information Forensics and Security, IEEE, 2011, pp. 1–6.
  3. E. Chickowski, “A Case Study in Security Big Data Analysis,” Dark Reading, 9 Mar. 2012.
  4. P. Giura and W. Wang, “Using Large Scale Distributed Computing to Unveil Advanced Persistent Threats,” Science J., vol. 1, no. 3, 2012, pp. 93–105.
  5. T.-F. Yen et al., “Beehive: Large-Scale Log Analysis for Detecting Suspicious Activity in Enterprise Networks,” to be published in Proc. Ann. Computer Security Applications Conference (ACSAC 13), ACM, Dec. 2013.

关于作者

Alvaro A. Cárdenas德克萨斯大学达拉斯分校的助理教授。在这里联系他。

Pratyusa K. Manadhata HP实验室研究员。在这里联系他。

Sreeranga P. Rajan 是美国富士通实验室的软件系统主任。可以通过sree@us.fujitsu.com联系他。这里还有可以免费访问的入选的 CS文章和专栏。

这篇文章最初发表在 IEEE安全与隐私 杂志上。 IEEE安全与隐私的主要目标是促进和追踪在安全、隐私和可靠性方面的进展,并将这些进展以一种实用的形式展示给范围广泛的专业团体,从学院派的研究人员到产业内的从业人员。

原文英文链接:Big Data Analytics for Security

15

FreeWAF-1.1.3 CentOS发布(2014-04-15)

1、Bug修订:

  • 修订了报表中定时报表的问题

31

FreeWAF 1.1.3 发布(2014-03-31)

  1. Bug修订:
    • 将部署模式中网桥透明、路由透明模式下的只设置端口号的方式,改为设置IP+端口号的方式,这样有针对性的的代理目标IP+端口的流量,而不是将某个端口的流量全部代理,用以解决被保护服务器不能访问外网的问题;
    • 修订了Web网管中删除网桥,如果网桥不存在则删不掉网桥透明模式下配置的和该网桥相关的ip+端口号的错误的问题;
    • 修订了Web网管中缓存策略添加时,弹出Parse error的错误的问题;
    • 修订了Web网管中服务器策略配置,“请求参数分隔符”默认值错误的问题;
    • 修订了Web网管中在修改在配置服务器策略时,看不到之前配置好的IP和端口的问题;
    • 修订了建立网桥时,如果有一个桥的成员没有启动,在网桥建立成功后,仍然不会启动的问题;
    • 为了减少误报,将服务器版本泄露防护子策略从默认安全策略中禁用;
    • 修订了一些Web网管的文件没有验证,可以直接读取的问题;
    • 修订了在配置服务器策略时,显示不准确的问题;
    • 修改了Web网管中若干安全子策略在网管中的名称,以便于理解;
    • 删除了中防护引擎CLI的默认配置中的IP和路由初始设定的配置;
    • 修订了防篡改备份时,找不到配置文件的问题;
    • 修订了重启引擎后,添加的通知邮件列表丢失的问题;
    • 增加意见反馈页面,方便用户方便的反馈意见、Bug等。

06

2013十大安全事件

wyl091256

一个针对用户的4000万借记卡和信用卡的攻击,在几周前的圣诞节被曝光,这在美国用户中引起了轩然大波。商家称消费者的认证和信用记录一直是被密切关注的问题。然而现实与互联网用户仍没有普遍的使用双重验证机制。

去年,黑客主要采取攻击服务器的方式来窃取个人数据,或者通过Twitter和其他的一些社交媒体通过钓鱼的方式传播恶意软件。

政府对攻击的防护很薄弱,英美包括中国在内的国家都在与互联网犯罪作斗争,同时也在互相进行渗透于监视。

年中,斯诺登事件对NSA权利的曝光,涉及,他们对电话,邮件以及很多数据进行的监听,也在社会引起轩然大波,

无疑2013是安全界的多事之秋,我们把去年关注度最高的10大安全事件整理到了一起。

现在就让我们来回顾一下,2013年十大安全事件。

1.Adobe

在2013年十月初,adobe被披露被黑客攻击,300w用户数据被窃取。其中包括用户姓名,银行卡卡号,截止日期,还有一些用户订单的信息。

Adobe还声称,在用户数据泄露的同时,多个Adobe产品的源码在入侵中被窃取,另外Adobe,这次攻击至少影响到了3800万用户。

(据说ViruS_HimA是一个埃及黑客,我还以为埃及只有金字塔,原来埃及也通互联网啊。)

2.叙利亚电子军团

西莉亚电子军团在2012年九月,渐渐走入人们的视线。这支在内战中崛起的军队在去年被包括New York Times,Financial Time,BBC在内的国际上各大媒体争相报道。

(这帮人曾经盗用Twitter账号,发布奥巴马被刺受创伤的消息,导致美国股市暴跌。)

3.中国黑客

2013年一月,The York Times 声称自己已经被中国黑客持续攻击4个月之久。入侵者的目的是调查前不久报纸发布的一篇关于温家宝财富问题的报导。

(这篇文章报道了温总理通过商业运转积累了上千万的财富,纽约时报被查水表了)

接下来的几个月,来自Mandiant的安全研究者为我们描绘了中国网军的壮阔规模,这个机构由各种计算机顶级高手组成,为政府效力,总部位于上海,官方称作解放军61398军队,到现在为止这支APT军队,总共在141个国家或组织中窃取了几千TB的数据。

4.JPMorgan(摩根大通银行)

这个月,JPMorgan声称,之前该银行发布的465000张透支卡,可能存在泄露用户信息的问题。

5. 僵尸来了!

这里说的僵尸并不是僵尸网络,而是几个美国的无聊黑客入侵了美国紧急情报系统,在KRTV和CW上发布了,僵尸袭击的警告。

(这个是虽然没造成多大影响,但是just for fun 的精神还是很不错的~)

6. 针对美国政府的攻击

2013年,很过美国政府机构都沦为网络犯罪的牺牲品,其中包括能源部,美联储,和前国务卿Colin Powell的社交账号。

7. 抠门的facebook

巴基斯坦的安全研究员,发现了facebook的一个小bug,他已在其它人的time line上发任意信息,不过facebook的官方人员忽略了这个漏洞。

于是Zuckerberg就把漏洞详细信息发布到了facebook CEO Zuckerberg的时间线上,之后不久facebook修复了这个漏洞。但是仍然拒绝支付500美元的漏洞悬赏。

(钱又不多,脸书何必如此抠门)

8. 苹果开发者网站

苹果开发者网站在2013年七月下线,原因是一名黑客在其中窃取了大量公司数据,不过据苹果公司声称其中重要数据,经过加密,禁止访问,不过其中开发者名称,邮寄地址,邮箱地址是可以访问的。新的网站版本在2013年8月中旬,继续上线。

9. 同病相怜的Facebook 和 Apple

2013年二月,facebook宣称,自己已成为不明黑客团体一系列攻击的目标,导致Facebook员工的笔记本中被植入了恶意软件。“上个月Facebook安全人员发现,我们的系统已成为一场精密攻击的目标。当一批员工访问一个被盗用的移动开发者网站时,攻击就会发生。”随后,恶意软件会安装到这些员工的笔记本中。黑客团体利用了所谓的“Java零日漏洞”,这是甲骨文软件中一个众所周知的漏洞,最近几个月以来备受关注。

巧合的是,几天后苹果公司也遭到了同样手段的攻击。

10. 匿名者对北朝鲜下手

2013年四月,北朝鲜官方Twitter的Filckr被入侵,这次匿名者进行的攻击意在干扰共产主义国家网络运行。攻击者曾发布诋毁金三胖的照片和标语。

十二 04

小型网站最易遭受的3种黑客攻击

转载地址:

http://www.freebuf.com/articles/others-articles/17339.html

小型网站通常不经常更新,一般不会有人去修复恶意代码,这就成为黑客喜欢攻击的原因。黑客通过寻找没有打补丁的页面,利用漏洞可以轻松而简单地进行攻击。这些遭受攻击的页面在之后会成黑客对用户进行分类的工具,分成计算机有漏洞可以攻击的用户以及难以攻击的用户,这些网页还被用来隐藏黑客的真实身份。黑客入侵之后会关上“后门”,通过给他们利用的漏洞打上补丁,同时也制造另一个后门,这些后门只有他们自己知道,因此在对页面进行漏洞测试时,并不能检测出其中的漏洞。
总的来说,一般网站管理员通常会遇到三种网络攻击情况。
1.剥面手段
这种情况是显而易见的,因为黑客在攻击了网站之后,在网站上留下信息来展示他们的技术并且嘲讽管理员。即使网页被删除,这种攻击的危害也不大。不会遭遇大量资金损失,因为黑客的目的是显示网站不够安全并获得其他黑客的认可。
2.资料探勘
资料探勘攻击的意图通常是窃取用户的私人信息和存储在各种服务中的认证信息,通常来讲电子商务网站、论坛、网络游戏容易受到类似攻击。这些被窃取的数据通常被用作广告意图或者银行诈骗。资料探勘很难被发觉,因为这种攻击速度通常很快,唯一的迹象就是大规模的数据流出,这是黑客在下载数据库。
通常来讲保护私人数据的最基础技巧就是加密。如果密码、信用卡和电话号码加密存储,那么黑客就需要知道源码才能破解,因此可以降低黑客攻击的成功率。
另外,通过使用第三方认证服务也可以为用户数据提供更高级别的保护。但是没有一家公司能够完全避免黑客攻击。一个例子就是adobe公司3800万用户数据被盗的案例。或许这些源码回流落到不法分子手中。
3.漏洞攻击及其网络
漏洞攻击指利用一系列漏洞测试和利用工具对网站用户的浏览数据进行攻击,在其中执行恶意代码。存在恶意代码的网站被称作“着陆页面”。为了获取用户通信,漏洞攻击者通过小型网页创立网络,就像开头邮件中提到的那样。他们的目的是转发用户的浏览数据而不被察觉,因此被感染的网页不会显示任何异样。
成为漏洞攻击群网络的网页会出现以下严重后果:
1.网页排名急速下降
2.声誉网站和杀毒软件公司将网页加入黑名单
3.用户将受到恶意软件的感染
4.用户对网站的信任度下降
为了防止这种情况出现,建议用户:
1.升级CMS系统和插件
2.修改默认的管理员用户名和密码
3.使用安全公司的产品保护网站
4.通过SFTP而不是FTP进行传输

十一 08

如何利用Google机器人进行SQL攻击

老外安全公司发现了来自Google机器人的SQL注入攻击,迫使他们应急的时候设置策略对Google的IP进行屏蔽。
有件事情我们需要留意的是,几乎所有的云防火墙的规则都会对搜索引擎机器人设置白名单。
目前来说我们的生活还是很幸福的,但当你发现一个合法的搜索引擎机器人被用来攻击你的网站,你还睡得安稳吗?
这是几天前我们一个客户的网站所发生的实实在在的案例,我们开始对Google机器人的IP进行屏蔽,根据抓到的请求可以判断它做的是SQL注入攻击。你没听错,对!Google机器人在对你们做SQL注入!
我们的发现始于Google机器人的IP地址被SQL注入防护策略屏蔽,各位看官看以下日志(打了点码):

66.249.66.138 – - [05/Nov/2013:00:28:40 -0500] “GET /url.php?variable=”)%20declare%20@q%
20varchar(8000(%20select%20@q%20=%200×527%20exec(@q)%20– HTTP/1.1″ 403 4439 “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

我们的第一反应是觉得这是个伪造的机器人,但当我们检查IP地址来源是却发现这是实实在在的google机器人!

$ host 66.249.66.138
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.

NetRange:       66.249.64.0 – 66.249.95.255
CIDR:           66.249.64.0/19
OriginAS:
NetName:        GOOGLE

进一步调查显示其它相似的请求签名都是来自于Google的IP地址。
到底咋回事?
其实Google并不是真有兴趣要黑我们,它是真的爱我们。
场景是这样的:
Google机器人正在网站A收集信息,网站A内嵌入了对目标网站B的SQL注入请求链接,Google机器人顺着链接访问网站B,就无意中开始对网站B执行了SQL注入攻击。
看到这里大家应该懂了吧?
利用机器人做攻击?
我们假设有个黑客叫小明。小明每天花很多时间在找web漏洞,所以小明也发现了一堆的漏洞站。而他也很清楚明白,他必须要掩饰他的行为。
而一个安全人员最普遍的方法都是分析日志。小明也知道这点,所以他现在可能有一个B网站的漏洞,比如SQL注入或者RFI。
于是小明到自己的网站A上面,写下这些EXP,让爬虫来爬……
这种类似场景其实很容易想象吧?
我们已经就这个问题联系谷歌了。对于爬虫,我们不能仅仅只是做白名单,而应该在这前面先对请求做检测!

十一 01

FreeWAF 1.1.1 发布(2013-11-01)

  1. 新增功能:
    • 增加电子邮件支持,包括将攻击日志、报表等信息以电子邮件的方式,发送给用户指定的电子邮件地址;
    • 增加详细的攻击日志信息,包括攻击日志中攻击类型的说明、事件描述、解决方案等;
  2. Bug修订:
    • 修订了设备重启时候,网络配置和路由配置会丢失的问题;
    • 修订了Web网管上网口配置失败后,不能够删除错误配置的问题;
    • 修订了修改管理口IP配置后,默认路由会丢失的问题;
    • 修订了编辑网页防篡改时,监控路径的级数显示错误的问题;
    • 修订了关键字过滤拦截后,攻击日志中没有记录的问题;

10

新型威胁分析与防范研究

新型威胁分析与防范研究

Last Modified @ 2013/5/26by yepeng

来源:http://yepeng.blog.51cto.com/3101105/1303041

【摘要】本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程、技术特点、当前国内外的发展现状,给出了新型威胁的基本定义和描述,以及应对新型威胁的总体思路和具体具体手段。最后,本文还简要叙述了新型威胁自身的技术发展动向。

1什么是新型威胁?

网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击,或者称之为“针对特定目标的攻击”。这些攻击统称为新型威胁。

2011年美国NIST发布了《SP800-39管理信息安全风险》。其中,对APT进行了定义:拥有高级专家和丰富资源的敌对方使用多种攻击技术(包括网络的、物理的、欺骗性的)为达成其一系列目标而实施的一类威胁。通过在目标组织的IT基础设施中建立并扩展落脚点,这些目标通常包括窃取信息,破坏或抵制某项使命或任务,或者潜伏起来以便在未来的某个时候达成这些目标。APT为了达成其目标会持续较长的一段时间,会想方设法隐匿自己,会与外界保持一定程度的交互以执行其任务。

一般认为,APT攻击就是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性地进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。

此外,APT攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。

更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。

对 于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备整合起来的管理平台,而 防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取等新型威胁(例如APT攻击,以及各类利用0day漏洞的攻击)。

2新型威胁的国内外发展态势

2.1国际

2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部,有19%的数据破坏行为来自国家级别的行为,利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

根据FireEye发布的《2012年下半年高级威胁分析报告》,详细分析了APT攻击的发展态势。《报告》指出,平均一个组织和单位每三分钟就会遭受一次恶意代码攻击,特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件;在所有遭受攻击的企业和组织中,拥有核心关键技术的技术类企业占比最高;在定向钓鱼邮件(spear phishing email)中经常使用通用的商业术语,具有很大的欺骗性;92%的攻击邮件都使用zip格式的附件,剩下的格式还有pdf等。

此外,国际上,尤其是美国着重炒作来自中国的APT攻击。最典型的是Mandiant公司发布的《对APT1组织的攻击行动的情报分析报告》,将APT1攻击行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上,直接以中国APT攻击为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。

以防范APT攻击为引子,各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略,其中就包括应对包括APT在内的国家级的敌对方的攻击。ENISA(欧洲网络与信息安全局)、北约CCDCOE(协作网络空间防御卓越中心)、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。

各国对新型威胁的重视,也带动了整个网络空间安全市场的崛起。2012年6月份,MarketandMarket公司发布了一份市场分析报告,称到2017年,全球的网络空间安全市场将达到1200亿美元的规模,而在2011年市场价值已经有637亿美元。报告明确指出,网络空间安全未来将来首要应对的问题就是APT,此外还包括僵尸网络、传统蠕虫和病毒等。

2.2国内

根据CN-CERT发布的《2012年我国互联网网络安全态势综述》,我国面临的新型威胁攻击的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击(APT攻击)活动频现,对国家和企业的数据安全造成严重威胁。2012年,我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

3新型威胁的实例说明

下面列举几个典型的APT攻击实例,以便展开进一步分析。

3.1Google极光攻击

2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。该攻击过程大致如下:

1)对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。

2)接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。

3)接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。

4)最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。

3.2夜龙攻击

夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。该攻击的攻击过程是:

1)外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;

2)被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;

3)内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;

4)被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;

5)更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。

3.3超级工厂病毒攻击(震网攻击)

著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。

遭 遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用 了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此 为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。

在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。

3.4RSA SecurID窃取攻击

2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。在RSASecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。其攻击工程大体如下:

1)RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件,附件是名为“2011 Recruitment plan.xls”的电子表格;

2)很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的AdobeFlash的0day漏洞(CVE-2011-0609);

3)该主机被植入臭名昭著的PoisonIvy远端控制工具,并开始自C&C中继站下载指令进行任务;

4)首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;

5)RSA发现开发用服务器(Stagingserver)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。

3.5Shady RAT攻击(暗鼠攻击)

2011年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。其攻击过程如下:

1)攻击者通过社会工程学的方法收集被攻击目标的信息。

2)攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。

3)当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用,从而被植入木马。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。

4)木马开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。

5)借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致攻击者可以任意控制受害人的机器。

3.6Lurid攻击

2011年9月22日,TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门,还有科研机构APT攻击——Lurid攻击。

攻击者的主要是利用了CVE-2009-4324和CVE-2010-2883这两个已知的Adobe Reader漏洞,以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。

用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中,并与C&C服务器进行通讯,收集的信息通常通过HTTP POST上传给C&C服务器。攻击者借助C&C服务器对木马下达各种指令,不断收集受害企业的敏感信息。

3.7Nitro攻击

2011年10月底,Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。该攻击的过程也十分典型:

1)受害企业的部分雇员收到带有欺骗性的邮件;

2)当受害人阅读邮件的时候,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,并且如果解压会产生一个可执行程序。

3)只要受害人执行了附件中的可执行程序,就会被植入Poison Ivy后门程序。

4)Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。

5)攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。

6)所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。

3.8Luckycat攻击

2012年3月份,TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的渗透和刺探的攻击行动,并命名为Luckycat。

根据报告显示,这次攻击行动依然是通过钓鱼邮件开始的,例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对 pdf/rtf的漏洞,包括CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE- 2011-0611,CVE-2011-2462等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名。

3.9火焰病毒攻击

2012年5月份,一种比震网(Stuxnet)和毒酷(Duqu)更具杀伤力的病毒——火焰病毒(Flame)曝光。火焰病毒攻击首先主要是在中东地区传播。火焰既是病毒又是木马,既能够借助网络和U盘等进行传播,又能够通过C&C让攻击者可以远程控制。一旦电脑系统被感染,病毒将开始一系列复杂的行动,包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能传到攻击者指定的遍布全球的服务器上去。

3.10IXESHE攻击

IXESHE(爱寿司)攻击行动是在2012年6月份披露出来的。该攻击主要针对的是东亚地区的政府、台湾的电子企业,以及一个德国的电信公司。

攻击手法采用的是发送给特定目标的恶意邮件,里面的附件利用了多个当时的0day漏洞(包括CVE-2009-4324和CVE-2011-0609),以及其他多个已知漏洞。

受害者在中招后就会开始与C&C进行联络,窃取信息。这些C&C服务器主要分布在台湾和美国。

3.11High Roller攻击

这个攻击的主要目标不是窃取信息,而是金融盗窃。

2012年6月25日,McAfee联合GuardianAnalytics发布了一份白皮书,揭示了他们最新发现进行金融欺诈的High Roller行动。该行动已经入侵了欧美的60多家银行,窃取了7500万美元。

根据报告,该攻击行动基于Zeus和SpyEye僵尸网络技术,并超越了这些技术,主要的创新是:绕过物理的密码芯片认证机制(例如USB key等双因素认证)、自动化的钱骡账户(也就是用于转移资金的中间账户)、基于服务器端的攻击(而一般的攻击都是从客户端发起的)。

报告分析了3种经典的窃取过程,最典型的也是传统的客户端发发起的欺诈。

首先,欺诈者给受害者发送定向钓鱼邮件(spear phishing email);受害者点击邮件中的链接后,受到0day或者Nday的漏洞利用攻击,被植入downloader木马;Downloader木马下载并安装Zeus或SpyEye客户端,加入僵尸网络。

用户下次登录在线银行后,植入的恶意代码会检测相关的参数,诸如是哪个银行、什么版本、账户信息、账户余额等。这些信息会透过僵尸网络发送给 C&C服务器,然后C&C服务器会判断该受害者是否符合条件。如果符合条件,就会下发一组针对这个银行的WEB注射欺诈指令(js形式)给受害者。

受害者再次登陆网银,就会遭受man-in-the-browser(浏览器中间人)攻击,也即是之前下载那组web注射指令的攻击,受害者会被引导到一个虚假的信息页面上(js生成的),然后会被告知“系统出错,需要等待”等等拖延用户操作时间的行为,让用户的操作暂停一会儿(例如1分钟),而实际上受害者机器上的恶意代码已经开始工作,并执行相关的转账指令,开始倒钱了。而这个过程中,攻击者精心编写的程序完全绕开了双因素认证等验证机制。而为了隐匿转账的过程,也用到了自动化的钱骡技术。

另一个更加高级的欺诈是在上面基于客户端的欺诈的基础上发展出来的基于服务器的欺诈。这种方式的前面过程跟上面的是一样的,只是客户登录后会被告知等待的时间更长,例如告知客户系统故障,要求客户1到2天后重试。而在这1到2天的时间内欺诈者会使用窃取到的该受害者的凭据从另一台受控的服务器上仿冒受害者客户端登录网银,进行相关转账操作,而完全不需要受害者被动参与。

3.12Xtreme RAT攻击

2012年11月,TrendMicro曝光了一个关于针对以色列美国等国的基于Xtreme RAT的网络攻击。

在这次攻击行动中,攻击者以DEBKA的名义发送给受害人(例如以色列警察局)一封邮件,题为“以色列国防军在加沙行动的报道和图片”,里面有个RAR文件。一旦受害人打开这个RAR文件,会有一个word文档,里面都是与邮件题目相符的新闻报道。但是同时,攻击者在这个RAR中植入了一个Xtreme RAT工具,只要一打开这个word,就中招了。以后,攻击者就能够利用这个RAT远程的窃取客户的相关资料和信息。

3.13Beebus攻击

2013年4月份,FireEye披露了一个名为Beebus的、重点针对航天和国防企业的持续性攻击行动。

攻击依然是从邮件开始的。攻击者利用了3个PDF漏洞和2个WORD漏洞精心设计了一组极具迷惑性的PDF和WORD文档。这些文档名被包装成白皮书或者是著名公司发布的报告,作为附件连同邮件一并发送给受害人。

受害人十分容易上当打开文档,而只要他/她的PDF或者WORD程序有符合的漏洞,那么就会中招,植入后门程序。后门程序采用DLL库的形式伪装自己,更不易被识别。

木马后门在与攻击者的C&C服务器通讯也都是采用BASE64加密方式,并且将服务器域名伪装的比较看似比较正规(例如bee.businessconsults.net)。

4新型威胁的综合分析

综合分析以上典型的APT攻击,可以发现,当前的新型攻击主要呈现以下技术特点:

1)攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;

2)攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,传统的邮件内容分析也难以奏效;

3)还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;

4)初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;

5)在攻击者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可以连接的分析能力;

6)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;

7)还有的企业部署了内网审计系统,日志分析系统,甚至是安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部入侵的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从攻击行为的角度进行整合,发现攻击路径。

因此,在APT这样的新型威胁面前,大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。

5新型威胁的应对之策

5.1总体思路

2011年7月13日~14日,RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO,CIO和CEO参加,涵盖政府、金融、制造、医药、技术、服务业等多个领域。在峰会上,与会专家总结了应对APT的10条共识:

1)攻击手段已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界,只要给定恰当的上下文,任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼攻击。

2)组织必须学会在已经遭受攻击的情况下生存。阻止攻击者进来是不现实的,更现实的做法是规划好在攻击者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口,降低损失上,例如隔离系统、阻止敏感信息外泄,以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产,清楚地知道这些资产在哪儿,谁对他进行了访问,在出现攻击的时候如何将资产隔离(锁定);

3)要提前监测出威胁必须依靠态势感知,尤其是需要更大范围的态势感知,不能只关注于自身网络中的态势,而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。

4)利用供应链发起攻击的情况正在抬头,供应链正在成为安全防御中的最薄弱环节,攻击者正在通过研究和收集可信供应商的弱点来发起攻击。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法,例如信誉评级、第三方审计、外部监测等。

5)突发事件响应应该是整个组织的事情,而非纯安全的事,并且要事先就制定好应对APT的突发事件响应程序/计划,并做好演练。

6)定制化——作为APT的一个重要特点——是对传统的基于签名(特征)的检测方法的重大挑战。定制化即意味着攻击的目的性极强,并且利用0day包装出一个攻击的速度极快,而研究出这个漏洞的签名(特征)则慢得多。

7)目前攻击方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。

8)组织必须积极主动地去尽早发现攻击,并用各种方式破坏攻击链条(路径)。

9)现在公开出来的APT攻击仅仅是冰山一角。同时,除了关注数据窃取,还要关注其他目的的APT攻击,例如poisoning, disruption,embarrassment 。

10)简单的安全才是更好的安全。我们要简化我们的技术环境(IT基础架构),只有更好的理解资产、流程和端点(终端)才有机会进行真正的防御。使用最小的技术去达成一个目标。

2012年8月,RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻击。现有的防护体系包括FW,AV,IDS/IPS,SIEM/SOC,以及CERT和组织结构,工作流程等等。都存在不足。报告指出,应对APT需要采取一种与以往不同的信息安全策略,这种策略被称作“高级方法”。他与传统的方法相比,更加注重对核心资产的保护、技术手段上更加注重检测技术、以数据为中心、分析日志更多是为了检测威胁、注重攻击模式的发现和描述、从情报分析的高度来分析威胁。

《当APT成为主流》提出了7条建议:

1)进行高级情报收集与分析–让情报成为战略的基石。

2)建立智能监测机制–知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物。

3)重新分配访问控制权–控制特权用户的访问。

4)认真开展有实效的用户培训–培训用户以识别社会工程攻击,并迫使用户承担保证企业信息安全的个人责任。

5)管理高管预期–确保最高管理层认识到,抗击高级持续性攻击的本质是与数字军备竞赛战斗。

6)重新设计IT架构–从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息。

7)参与情报交换–分享信息安全威胁情报,利用其他企业积累的知识。

Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己、更要知彼,强调真正的主动安全是料敌先机,核心就是对安全威胁情报的分析与分享。

5.2技术手段分析

从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。

从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。

根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。

而不论从哪个环节入手,都主要涉及以下几类新型技术手段:

5.2.1基于沙箱的恶意代码检测技术

要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过可疑文件触发的外在行为来判定是否是恶意代码。

沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建,或者通过一个特制程序来虚拟。

5.2.2基于异常的流量检测技术

传统的IDS都是基于特征(签名)的技术去进行DPI分析,有的也用到了一些简单DFI分析技术。面对新型威胁,DFI技术的应用需要进一步深化。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。

5.2.3全包捕获与分析技术

应对APT攻击,需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。

5.2.4信誉技术

信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库,还是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护。

5.2.5综合分析技术

所谓综合分析,就是在前述所有技术之上的,并且涵盖传统检测技术之上的,一个横向贯穿的分析。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为。

综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等。

5.2.6人的技能

最后,要实现对新型攻击的防范,除了上述新的监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等。安全专家的技能永远是任何技术都无法完全替代的。

6新型威胁的最新技术发展动向

新型威胁自身也在不断发展进化,以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。

6.1精准钓鱼

精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪(因为你不知道名单,且不在名单之列)。

6.2高级隐遁技术

高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司(2013年5月被McAfee收购)的一个研究成果。高级隐遁技术(AET,Advanced Evasion Technology)是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。

高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。

6.3沙箱逃避

新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行,那么恶意代码的制作者就会想办法去欺骗虚拟机。

6.4水坑式攻击

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。

7结语

总之,在应对新型威胁的道路上,我们还有很多工作需要去做。

 

 

18

FreeWAF 1.1.0 发布(2013-09-18)

  1. 新增功能:
    • 反向代理部署模式,支持基于IP的多虚拟主机功能;
    • 反向代理部署模式,支持内容路由功能;
    • 增强报表功能,支持基于域名的报表生成功能;
    • 静态路由配置功能;
  2. Bug修订:
    • 修订了关于Web网管中访问日志和攻击日志的乱字符问题。它会导致该乱字符之后的所有日志都查看不了;
    • 修订了关于防护引擎中会话之间数据共享问题。它会导致会话之间数据无法共享,并且不断产生垃圾文件造成系统性能降低的;
    • 修订了关于攻击日志的筛选问题。它会导致攻击日志的“危害等级”无法筛选;
    • 修订了关于信息采集的事件触发器问题。当操作系统时间设置不对时,时间有可能超前或超后,而事件触发器没有去删除这些超后的数据,从而导致Web网管一直从超后的时间点读取,造成显示不正常;
    • 修改防篡改的磁盘配置问题。比如:分配给防篡改的磁盘空间为10G,且这个空间已经存储了9G的备份文件,而这时把防篡改的磁盘空间调整到5G,这应该是不允许的;
    • 修订了关于”CC防护“中对请求头Refferrer URL统计算法错误问题;
    • 修订了Web网管中“访问监控”的“实时访问”显示不正确问题;
    • 修订了关于“协议参数防护“中对请求头Host域的检测方法。该版本将不再对其进行限定,比如:不能为IP地址等。

旧文章 «