■李茜

揭秘你的數(shù)據(jù)如何不翼而飛

■李茜

大多數(shù)人都認為應(yīng)該防止黑客的入侵，但是一旦黑客進入了你們內(nèi)部，他們又是如何將數(shù)據(jù)弄到外面的？Trustwave公司SpiderLabs的研究向我們揭示的答案往往非常簡單。

網(wǎng)絡(luò)犯罪分子在攻擊的方法上變得越來越復(fù)雜。我們也往往將此等同于數(shù)據(jù)潛回的方法。盡管移動設(shè)備或物理盜賊也可以利用，但是數(shù)據(jù)的潛回或輸出通常都是在網(wǎng)絡(luò)渠道的系統(tǒng)上復(fù)制數(shù)據(jù)過程中發(fā)生的。

SpiderLabs 2009年對24個不同國家的200起數(shù)據(jù)違規(guī)事件進行了調(diào)查。雖然網(wǎng)絡(luò)犯罪分子從違規(guī)環(huán)境中獲取數(shù)據(jù)的方法多種多樣，但是他們?nèi)肭帜硞€環(huán)境的方法往往都是通過遠程訪問那些被目標企業(yè)使用的應(yīng)用程序。45%的違規(guī)事件是因為遠程訪問應(yīng)用而使系統(tǒng)遭到違規(guī)的。并且不是零日漏洞攻擊或復(fù)雜的應(yīng)用程序漏洞，攻擊現(xiàn)象看起來與IT員工和CEO在外出過程中遠程連接網(wǎng)絡(luò)并無太大差異。攻擊者也不需要通過蠻力獲得賬戶。SpiderLabs發(fā)現(xiàn)，90%的攻擊事件得以成功因為供應(yīng)商違約或易被猜透的密碼，例如"temp:temp"或"admin:nimda"。

一旦確立一個立足點，攻擊者往往使用網(wǎng)絡(luò)列舉工具。網(wǎng)絡(luò)列舉工具往往被攻擊者用來挖掘同一環(huán)境中的其他目標或檢索系統(tǒng)信息用，例如用戶名、組權(quán)限、網(wǎng)絡(luò)共享和可用服務(wù)。如果列舉工具收集到了噪音就可以排除受到攻擊的可能。糟糕的是，我們發(fā)現(xiàn)多數(shù)機構(gòu)都沒有適當?shù)貙ψ约旱南到y(tǒng)進行監(jiān)測，因此無法覺察到這些現(xiàn)象。

一旦攻擊者獲得目標企業(yè)的訪問權(quán)限，他們就會使用手動或者自動的方法獲取數(shù)據(jù)。使用手動方法可以盜取有漏洞的數(shù)據(jù)庫和文件，使用特定的關(guān)鍵字進一步確定數(shù)據(jù)就可進行操作系統(tǒng)的搜索。

自動的方法主要是編寫專門的惡意軟件，利用處理機密信息的應(yīng)用程序的安全控件中的漏洞來達到目的。一般來說，許多應(yīng)用的安全設(shè)計并不適用于別的控件，數(shù)據(jù)處理組件的報警功能也不明確。雖然數(shù)據(jù)是由目標系統(tǒng)處理的，但可接收、儲存加密數(shù)據(jù)并將數(shù)據(jù)傳輸?shù)缴嫌沃鳈C的目標系統(tǒng)易受到數(shù)據(jù)違規(guī)。這是因為系統(tǒng)處理數(shù)據(jù)必須被解密為RAM，以便應(yīng)用程序可以使用。

前文我們已經(jīng)講了黑客會利用惡意軟件盜取數(shù)據(jù)，下面我們來看一些常用的應(yīng)用如何被黑客用來盜竊數(shù)據(jù)，最后專家還給出了應(yīng)對措施。

平均來說，網(wǎng)絡(luò)犯罪分子獲取目標系統(tǒng)或數(shù)據(jù)訪問權(quán)限的時間是156天。在這段時間內(nèi)，攻擊者進入環(huán)境，設(shè)置他們的工具來移動數(shù)據(jù)，并在IT人員或部門對他們的行動采取行動之前獲取數(shù)據(jù)。2009年的一些調(diào)查顯示，一些網(wǎng)絡(luò)犯罪分子經(jīng)常在三年內(nèi)頻繁活動。2009年比較典型的長期的檢測，似乎還運用了一些知識，網(wǎng)絡(luò)犯罪分子的活動不是隱形的。

在多個案例中，網(wǎng)絡(luò)犯罪分子使用遠程訪問程序方便第一次進入提取數(shù)據(jù)。其他的現(xiàn)有服務(wù)，如本地FTP和HTTP客戶端功能，也經(jīng)常被用來進行數(shù)據(jù)滲漏。尤其是當惡意軟件被用來數(shù)據(jù)滲漏的時候，F(xiàn)TP、SMTP和IRC功能就會被定期觀察。在對特制惡意軟件進行逆向分析的過程中，二進制會泄露FTP功能的存在，包括硬編碼IP地址和證書。有了現(xiàn)成的惡意軟件，如按鍵記錄器，攻擊者往往用內(nèi)置的FTP和郵件功能滲漏數(shù)據(jù)。當郵件服務(wù)被用來提取數(shù)據(jù)的時候，攻擊者往往會直接安裝惡意的SMTP服務(wù)器到遭受違規(guī)的系統(tǒng)中，以確保數(shù)據(jù)可以正常地傳送。

只有個別情況的數(shù)據(jù)滲漏使用了加密渠道，進一步表明犯罪分子不關(guān)注警報是否存在。由于本地可用網(wǎng)絡(luò)服務(wù)的存在，以及缺乏適當?shù)某隹谶^濾并且使用了不適當?shù)南到y(tǒng)檢測做法，犯罪分子往往使用可用的網(wǎng)絡(luò)服務(wù)或安裝他們自己的基礎(chǔ)服務(wù)。很顯然，在所有的案例中，敏感數(shù)據(jù)被輸送到了目標環(huán)境之外。在這一過程中，IT安全團隊根本不會監(jiān)測到數(shù)據(jù)泄漏的發(fā)生。

在尋找攻擊跡象的時候，IT安全團隊似乎期望情況時復(fù)雜的。而攻擊者往往非常簡單，甚至可能在例行的日志審查中表現(xiàn)為“良性”。數(shù)據(jù)沒有離開目標環(huán)境之前，不會有跡象表明遭到了違規(guī)。密切關(guān)注“標準”系統(tǒng)的“正常”活動行為是避免亡羊補牢的重要措施。應(yīng)該用懷疑的視角審視每一個不正常的行為并通過內(nèi)部調(diào)查的做法解決問題，如果必要的話還應(yīng)該請外部專家進行再審。