韓 杰,馮美琪,李建欣

(1.北京航天萬源科技有限公司,北京 100176;2.中國(guó)民航信息網(wǎng)絡(luò)股份有限公司 運(yùn)行中心,北京 101318)

0 引 言

在全球化和信息化的時(shí)代背景下,網(wǎng)絡(luò)逐漸成為意識(shí)形態(tài)較量的新戰(zhàn)場(chǎng)[1],其主要表現(xiàn)形式為網(wǎng)絡(luò)攻防戰(zhàn)[2]。在網(wǎng)絡(luò)攻防戰(zhàn)中,由于攻擊來源的追蹤查找是抵御網(wǎng)絡(luò)攻擊的一項(xiàng)主動(dòng)防范技術(shù),因?yàn)楣粽咦顬樵谝獾木褪侨绾坞[藏自身真實(shí)身份[3],不被防守方溯源反制。在前期攻擊者使用的反溯源技術(shù)較為單一,手段多為刪除各種日志或者不斷更換網(wǎng)卡,效率較低,也更易被發(fā)現(xiàn)。隨著攻防技術(shù)的演進(jìn),攻擊和防守在持續(xù)的博弈中各自精進(jìn),現(xiàn)有溯源技術(shù)呈現(xiàn)多維、多技術(shù)的綜合特征,主要溯源技術(shù)有:基于OmegaLog框架[4]、基于網(wǎng)絡(luò)流量風(fēng)險(xiǎn)數(shù)據(jù)聚類[5]、基于攻擊圖譜的溯源分析技術(shù)[6]、基于大數(shù)據(jù)技術(shù)的多層溯源框架[7]等。溯源技術(shù)多維和多技術(shù)的特征讓攻擊者在各個(gè)滲透階段都有可能暴露自己的真實(shí)身份,現(xiàn)有手段已無法完美地隱藏自己,存在較高的暴露風(fēng)險(xiǎn),此時(shí)云服務(wù)化和Serverless架構(gòu)為攻擊者提供了反溯源的新思路。

針對(duì)現(xiàn)有反溯源技術(shù)的不足,該文利用Serverless架構(gòu)中的云函數(shù)實(shí)現(xiàn)攻擊地址的隱藏進(jìn)而驗(yàn)證其可行性,同時(shí)深入分析訪問時(shí)的流量數(shù)據(jù),與正常訪問時(shí)的數(shù)據(jù)進(jìn)行對(duì)比分析,選取存在顯著差異的特征作為主要指標(biāo),構(gòu)建威脅檢測(cè)模型,提供利用云函數(shù)進(jìn)行網(wǎng)絡(luò)攻擊的檢測(cè)思路。

1 反溯源技術(shù)研究分類

1.1 匿名通信技術(shù)

匿名通信技術(shù)通過隱藏通信雙方IP地址、物理位置等實(shí)體信息和通信關(guān)系的通信技術(shù),使竊聽者無法直接獲知或推導(dǎo)得知通信雙方的通信關(guān)系或某一方的信息,從而更好地保護(hù)網(wǎng)絡(luò)用戶的通信隱私[8]。匿名通信系統(tǒng)主要分為基于Mix算法、基于OnionRouting算法和基于泛洪算法。當(dāng)前關(guān)于匿名通信技術(shù)的研究主要集中在提供匿名性能,而其在網(wǎng)絡(luò)攻擊中的應(yīng)用實(shí)例主要是Tor匿名網(wǎng)絡(luò),由于低延時(shí)、易于配置和使用、服務(wù)穩(wěn)定可靠等優(yōu)點(diǎn),是目前互聯(lián)網(wǎng)中最成功的公共匿名通信服務(wù)[9]。

1.2 跳板攻擊技術(shù)

跳板攻擊技術(shù)是目前攻擊方的普遍攻擊形式,其主要的作用就是隱藏攻擊源。其常見的應(yīng)用實(shí)例就是跳板機(jī)。所謂跳板機(jī)就是一臺(tái)可以聯(lián)網(wǎng)的服務(wù)器,攻擊者通過自己的本機(jī)控制跳板機(jī),通過一個(gè)跳板機(jī)或多個(gè)跳板機(jī)對(duì)目標(biāo)實(shí)施攻擊行為,從而達(dá)到隱藏自身的目的。其主要分為兩種利用形式[10]:一是簡(jiǎn)單經(jīng)過,即數(shù)據(jù)包內(nèi)容基本在經(jīng)過跳板前后不改變,一次經(jīng)過跳板機(jī)完成攻擊;二是完全控制,即數(shù)據(jù)包基本內(nèi)容經(jīng)過跳板前后無必然關(guān)聯(lián),攻擊者通過多種控制形式操作跳板機(jī)實(shí)施攻擊。由于攻防技術(shù)不斷精進(jìn),常用跳板攻擊技術(shù)多為完全控制方式。但由于現(xiàn)有很多安全產(chǎn)品均有追溯功能,理論上在三跳以內(nèi)的跳板攻擊基本可以通過代理跳板主機(jī)找到攻擊源主機(jī)。

1.3 代理技術(shù)

代理也稱為網(wǎng)絡(luò)代理,是一種特殊的網(wǎng)絡(luò)服務(wù),允許一個(gè)網(wǎng)絡(luò)終端通過該服務(wù)與另一個(gè)網(wǎng)絡(luò)終端進(jìn)行非直接的連接。代理服務(wù)器是一種加密的匿名代理,不僅可以更改IP地址,還可以對(duì)會(huì)話進(jìn)行加密,常被攻擊者利用來隱藏攻擊源。攻擊者主要的利用方式就是匿名代理服務(wù)器但其安全性取決于代理商。

2 Serverless介紹

2014年Serverless首次以云服務(wù)的概念被提出[11],實(shí)現(xiàn)應(yīng)用開發(fā)與服務(wù)器分離,同時(shí)消除底層設(shè)備差異對(duì)上層應(yīng)用造成的不良影響[12]。Serverless服務(wù)主要包括函數(shù)即服務(wù)FaaS(Function as a Service)以及后端即服務(wù)(Backend as a Service)。其主要特征如下:

(1)基于函數(shù),即輕量化、細(xì)粒度和短周期的函數(shù),使其系統(tǒng)簡(jiǎn)易、穩(wěn)定和性能高;

(2)無狀態(tài),即函數(shù)實(shí)例互相獨(dú)立,具有一定容錯(cuò)能力;

(3)自動(dòng)伸縮性,即函數(shù)實(shí)例可以從活躍節(jié)點(diǎn)直接擴(kuò)容,以應(yīng)對(duì)批量事件,提升系統(tǒng)吞吐性能;

(4)事件驅(qū)動(dòng),即觸發(fā)器定義并量化事件-業(yè)務(wù)關(guān)系,提供實(shí)時(shí)事件監(jiān)聽服務(wù);

(5)高兼容性,即提供對(duì)異構(gòu)基礎(chǔ)設(shè)施、運(yùn)行環(huán)境和編程方式等多層次[13]的兼容機(jī)制。

云函數(shù)實(shí)際是FaaS(函數(shù)即服務(wù),Function as a Service)的具體體現(xiàn),是指運(yùn)行在云服務(wù)器的代碼,無需實(shí)體服務(wù)器進(jìn)行承載,開發(fā)者使用相應(yīng)工具編寫代碼后上傳部署至云端[14]之后即可運(yùn)行在云服務(wù)器端的函數(shù),其實(shí)際提供的是計(jì)算能力。從物理設(shè)計(jì)層面來講,一個(gè)云函數(shù)可以由多個(gè)文件組成,各個(gè)云函數(shù)之間完全獨(dú)立,可部署在不同地區(qū)。云函數(shù)可以被端側(cè)調(diào)用,也可以互相調(diào)用。云函數(shù)主要特點(diǎn)是基于事件的、無服務(wù)器零運(yùn)維[15],也正因如此,云函數(shù)能跨多個(gè)物理服務(wù)器平衡工作負(fù)載,可以創(chuàng)建多個(gè)容器動(dòng)態(tài)擴(kuò)展應(yīng)用程序的實(shí)例[16],這也就使得用戶在請(qǐng)求目標(biāo)時(shí),會(huì)自動(dòng)調(diào)用不同可用區(qū)域的IP地址。以事件函數(shù)為例,云函數(shù)調(diào)用示意圖如圖1所示。

圖1 云函數(shù)調(diào)用示意圖

目前云函數(shù)廣泛應(yīng)用于數(shù)據(jù)ETL處理、文件處理及通知、移動(dòng)及Web應(yīng)用、小程序、業(yè)務(wù)流轉(zhuǎn)等,而其在網(wǎng)絡(luò)攻防中的應(yīng)用場(chǎng)景主要是防溯源,如C2地址隱藏、制作防溯源的Webshell等。其在網(wǎng)絡(luò)攻防中的應(yīng)用與CDN相比,二者都是與域名資源綁定,但CDN是建立并覆蓋在承載網(wǎng)之上,主要應(yīng)用在內(nèi)容加速方面,但云函數(shù)提供無服務(wù)器執(zhí)行環(huán)境,攻擊者可直接進(jìn)行攻擊代碼編寫,也更加利于隱藏自己的真實(shí)IP地址。

3 云函數(shù)在反溯源方面的應(yīng)用實(shí)例

結(jié)合攻擊者的攻擊思路,此次實(shí)驗(yàn)以C2地址隱藏為例,利用CobaltStrike軟件創(chuàng)建后門程序,使用云函數(shù)轉(zhuǎn)發(fā)HTTP請(qǐng)求,從而達(dá)到隱藏真實(shí)IP地址的目的,避免被防守方溯源追蹤。

(1)云函數(shù)創(chuàng)建。

云函數(shù)有2種類型:一是事件函數(shù),通過事件觸發(fā)函數(shù)運(yùn)行,純粹純托管FaaS;一是Web函數(shù),主要是應(yīng)對(duì)主流的Serverlessful 多線程開發(fā)模式,解決傳統(tǒng)Web框架FaaS化改造成本高的問題,用戶可以直接發(fā)送HTTP請(qǐng)求到URL觸發(fā)函數(shù)執(zhí)行。考慮到攻擊者在實(shí)際應(yīng)用過程中的選擇,本次實(shí)驗(yàn)選擇事件函數(shù)類型,轉(zhuǎn)發(fā)HTTP請(qǐng)求。云函數(shù)基本信息如圖2所示。

圖2 云函數(shù)基本信息

(2)后門程序創(chuàng)建。

CobaltStrike共支持5種后門程序,此處暫不詳細(xì)介紹,選擇Windows Executable類型木馬即可達(dá)到實(shí)驗(yàn)?zāi)康?。?gòu)建木馬程序時(shí),Shell反彈的主機(jī)為申請(qǐng)的云函數(shù)域名。

(3)功能實(shí)現(xiàn)。

功能實(shí)現(xiàn)的前提是已經(jīng)通過其他攻擊手段將木馬文件植入到目標(biāo)主機(jī)并運(yùn)行,此次實(shí)驗(yàn)則直接將生成的木馬文件拷貝至目標(biāo)主機(jī)并執(zhí)行,此時(shí)在CobaltStrike頁面中可以監(jiān)聽到目標(biāo)主機(jī)點(diǎn)擊了木馬文件,同時(shí)雙擊可進(jìn)入到Shell頁面,通過執(zhí)行系統(tǒng)命令(ls)獲取當(dāng)前目錄下的所有文件以確認(rèn)是否成功與目標(biāo)主機(jī)建立連接,命令執(zhí)行結(jié)果表示已成功與目標(biāo)主機(jī)建立連接。詳細(xì)信息如圖3所示。

圖3 獲取Shell權(quán)限并成功執(zhí)行l(wèi)s命令

通過觀察CobaltStrike監(jiān)聽器中的信息,發(fā)現(xiàn)external地址不斷變化,該現(xiàn)象也間接說明云函數(shù)具備內(nèi)置的代理功能,在不重啟木馬進(jìn)程的情況下,同一客戶端會(huì)訪問同一API網(wǎng)關(guān)地址,但是經(jīng)過云函數(shù)內(nèi)置的代理轉(zhuǎn)發(fā)后,CobaltStrike監(jiān)聽到的攻擊地址為代理IP地址,即騰訊云地址,并非真實(shí)的攻擊地址。IP地址在訪問過程中的變化情況如圖4所示。在木馬程序反連過程中,所有外網(wǎng)的IP地址經(jīng)查詢均為騰訊云地址,無法進(jìn)一步溯源到實(shí)際的攻擊者,到此就達(dá)到了隱藏真實(shí)IP地址的目的,避免攻擊者被溯源反制。

圖4 云函數(shù)使用中IP地址變化情況

4 攻擊檢測(cè)模型構(gòu)建及實(shí)驗(yàn)分析

4.1 流量分析

通過模擬攻擊者的攻擊手段,利用云函數(shù)技術(shù)隱藏自己真實(shí)IP地址,創(chuàng)建釣魚郵件中的惡意木馬程序,在用戶運(yùn)行木馬程序時(shí)會(huì)自動(dòng)與C2地址建立連接。對(duì)運(yùn)行過程中產(chǎn)生的HTTP流量數(shù)據(jù)進(jìn)行分析,總結(jié)出如下特征。

4.1.1 域名首次出現(xiàn)并帶有云廠商特征

用戶在點(diǎn)擊木馬程序后,木馬程序自動(dòng)與C2地址建立連接,HTTP請(qǐng)求頭信息如圖5所示。通過觀察HTTP請(qǐng)求頭信息,發(fā)現(xiàn)Host字段的值為云函數(shù)生成的域名xxxxxxxxxxxxxxx.apigw.tencentcs.com,且該域名對(duì)用戶來說是首次訪問,其中apigw.tencentcs.com為騰訊云函數(shù)域名的特征。

圖5 HTTP請(qǐng)求包頭信息

4.1.2 目標(biāo)主機(jī)定時(shí)向攻擊機(jī)發(fā)送數(shù)據(jù)包

木馬在運(yùn)行時(shí)需要通過網(wǎng)絡(luò)與攻擊機(jī)保持通信,以達(dá)到持續(xù)控制的目的。如表1所示,木馬程序會(huì)定時(shí)發(fā)送HTTP請(qǐng)求包進(jìn)行心跳檢測(cè),約1 min發(fā)送一次GET請(qǐng)求,保證與攻擊機(jī)正常通信。其用于心跳檢測(cè)的HTTP請(qǐng)求包具有相同的URI、請(qǐng)求方法和請(qǐng)求包大小。

表1 目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包的詳細(xì)信息

4.2 攻擊檢測(cè)模型構(gòu)建

4.2.1 特征提取

通過對(duì)流量數(shù)據(jù)的分析,提取相關(guān)特征作為模型中的檢測(cè)特征。主要分為兩個(gè)方面:一個(gè)是關(guān)鍵字匹配。目前常見云廠商的云函數(shù)都具有較明顯的特征,可通過此特征確定是否使用了云函數(shù)。另一個(gè)方面是特征檢測(cè)。使用云函數(shù)不代表其為攻擊行為,可能為正常業(yè)務(wù)操作,因此還要結(jié)合訪問特征進(jìn)行進(jìn)一步判斷。特征提取階段共提取出1個(gè)關(guān)鍵字特征和5個(gè)訪問特征,訪問特征分別是:新域名、時(shí)間間隔離散程度、請(qǐng)求包大小離散程度、URI頻次和請(qǐng)求方法。

(1)特征值檢測(cè)。根據(jù)HTTP數(shù)據(jù)包中的特征,訪問時(shí)數(shù)據(jù)包中會(huì)包含云函數(shù)生成的域名,不同的云廠商具有不同的特征。目前中國(guó)主要的云計(jì)算公司有:阿里云、騰訊云、百度智能云等,基本都提供云函數(shù)服務(wù),其云函數(shù)生成的域名也有不同的特征。詳細(xì)如表2所示。

表2 部分云廠商云函數(shù)訪問域名的特征

(2)訪問特征檢測(cè)。通過模擬攻擊者的攻擊手法,使用云函數(shù)生成的域名構(gòu)建木馬程序進(jìn)行遠(yuǎn)程木馬攻擊,分析攻擊流量,總結(jié)出攻擊者具有如下訪問特征。

①通過分析某一IP地址訪問的域名是否為近6個(gè)月首次出現(xiàn)來確定是否為攻擊者構(gòu)造的域名。其計(jì)算公式為:

newHost=IF(該IP地址近6個(gè)月首次出現(xiàn))

(1)

②通過分析某一IP地址10分鐘內(nèi)HTTP請(qǐng)求的URI頻次來確定該URI是否為訪問最頻繁的URI,后續(xù)指標(biāo)計(jì)算將以此URI為前提進(jìn)行統(tǒng)計(jì)。其計(jì)算公式為:

freqUri=uri(IF(該IP地址10分鐘內(nèi)HTTP請(qǐng)求次數(shù)>10))

(2)

③通過分析某一IP訪問最頻繁URI在10分鐘內(nèi)請(qǐng)求間隔時(shí)間的離散程度輔助確定是否為攻擊行為。其計(jì)算公式為:

(3)

④通過分析某一IP訪問最頻繁URI在10分鐘內(nèi)請(qǐng)求包大小的離散程度輔助確定是否為攻擊行為。其計(jì)算公式為:

(4)

⑤通過分析某一IP訪問最頻繁URI的請(qǐng)求方法是否為GET來輔助確定是否為攻擊行為。其計(jì)算公式為:

reqMethod=IF(該IP頻繁URI的HTTP請(qǐng)求方法為GET)

(5)

4.2.2 檢測(cè)流程

檢測(cè)特征無法直接應(yīng)用于攻擊檢測(cè),需要結(jié)合攻擊檢測(cè)流程模型進(jìn)行應(yīng)用。根據(jù)4.2.1節(jié)提到的6個(gè)特征,制定相關(guān)的檢測(cè)流程,如圖6所示。

圖6 檢測(cè)流程

首先通過關(guān)鍵字匹配確定是否使用了已知廠商的云函數(shù)服務(wù),若無法確認(rèn)進(jìn)一步通過域名出現(xiàn)的時(shí)間進(jìn)行輔助判斷,若使用了云函數(shù)或者首次訪問該域名,則通過統(tǒng)計(jì)特征進(jìn)一步判斷是否為攻擊行為。在判斷是否為攻擊行為前,需要根據(jù)訪問特征尋找訪問最頻繁的URI,若存在,則需要進(jìn)一步判斷是否為攻擊行為,若不存在,則判定為非攻擊行為。在進(jìn)一步判斷是否為攻擊行為時(shí),對(duì)3個(gè)統(tǒng)計(jì)指標(biāo)進(jìn)行投票,若命中指標(biāo)數(shù)大于1時(shí),則判定其疑似為攻擊行為,轉(zhuǎn)為人工研判及處置,否則判定為非攻擊行為,暫不處置。

4.3 實(shí)驗(yàn)結(jié)果分析

根據(jù)4.2.2節(jié)的檢測(cè)流程,通過計(jì)算6個(gè)特征,輔以檢測(cè)模型,判斷是否為攻擊行為。以實(shí)際的一個(gè)攻擊行為和2個(gè)正常業(yè)務(wù)行為為例進(jìn)行實(shí)驗(yàn)。

攻擊行為:內(nèi)部演練期間,攻擊隊(duì)利用社工釣魚的攻擊手段,成功控制一臺(tái)辦公終端,并利用該辦公終端作為跳板機(jī),進(jìn)行內(nèi)網(wǎng)橫向滲透。在進(jìn)行溯源分析時(shí)發(fā)現(xiàn),攻擊者一般都會(huì)利用國(guó)內(nèi)常見云廠商的云函數(shù),在HTTP請(qǐng)求包中的Host字段都會(huì)包含云函數(shù)的特征,但僅靠該特征無法與正常業(yè)務(wù)行為區(qū)分,因此相關(guān)統(tǒng)計(jì)特征仍是較為明顯的特征。該行為相關(guān)字段的詳細(xì)信息見表3。

表3 攻擊行為相關(guān)字段信息

正常業(yè)務(wù)行為1:研發(fā)人員利用騰訊云函數(shù)轉(zhuǎn)發(fā)HTTP/HTTPS請(qǐng)求,實(shí)現(xiàn)代碼輕量級(jí)部署。

正常業(yè)務(wù)行為2:研發(fā)人員利用騰訊云函數(shù)轉(zhuǎn)發(fā)HTTP/HTTPS請(qǐng)求,并綁定已有域名,即云函數(shù)/云對(duì)象URL化,實(shí)現(xiàn)代碼輕量級(jí)部署。

以上3個(gè)測(cè)試行為經(jīng)過4.2.2節(jié)的檢測(cè)流程進(jìn)行檢測(cè)后,得到如表4的指標(biāo)值和檢測(cè)結(jié)果。

表4 實(shí)驗(yàn)結(jié)果

對(duì)比已有的檢測(cè)方法,單純依靠特征值檢測(cè),業(yè)務(wù)行為經(jīng)常被判定為攻擊行為,增加了人工研判的工作量并對(duì)正常業(yè)務(wù)造成一定影響,而利用文中檢測(cè)方法,可以進(jìn)一步對(duì)攻擊行為進(jìn)行判斷,在一定程度上可以降低對(duì)正常業(yè)務(wù)的影響,提高安全事件的處置效率。通過試驗(yàn)分析,也進(jìn)一步證明了文中分析方法的正確性。

為了進(jìn)一步體現(xiàn)文中檢測(cè)方法的可行性,參考《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(2021-2023年)(征求意見稿)》中提到的“提升安全編排與自動(dòng)化響應(yīng)技術(shù)應(yīng)用水平”的要求,從發(fā)現(xiàn)、響應(yīng)和分析3個(gè)環(huán)節(jié)分析文中檢測(cè)方法的時(shí)間性能?，F(xiàn)有方法和文中方法的時(shí)間性能對(duì)比如表5所示。

表5 時(shí)間性能對(duì)比結(jié)果

通過表5的對(duì)比分析結(jié)果發(fā)現(xiàn),在安全運(yùn)營(yíng)流程中,文中檢測(cè)方法雖然在發(fā)現(xiàn)過程中由于需要時(shí)間計(jì)算指標(biāo)而導(dǎo)致時(shí)間效率高于現(xiàn)有方法,但其在后續(xù)響應(yīng)及分析過程中能夠大大縮減時(shí)間,使得整個(gè)安全運(yùn)營(yíng)流程的時(shí)間縮短,并實(shí)現(xiàn)自動(dòng)化響應(yīng)及分析。此時(shí)再結(jié)合人工研判,在大大縮短時(shí)間的同時(shí),也降低了誤報(bào)率,提高了響應(yīng)及處置效率。

5 結(jié)束語

Serverless解決了系統(tǒng)層面運(yùn)維問題,但由于其事件驅(qū)動(dòng)、自動(dòng)伸縮以及應(yīng)用開發(fā)與服務(wù)器分離的特性,在簡(jiǎn)化運(yùn)維工作的同時(shí),也容易被攻擊者惡意利用,增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該技術(shù)應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域中可實(shí)現(xiàn)隱藏自身真實(shí)身份的目的,對(duì)于防守方來說可以保護(hù)服務(wù)器不被互聯(lián)網(wǎng)上的IP掃描軟件發(fā)現(xiàn),但對(duì)于攻擊者來說也能避免其真實(shí)身份被溯源,增加防守方溯源反制難度。因此可以利用Serverless簡(jiǎn)化運(yùn)維工作以及保護(hù)服務(wù)器IP,但也要同時(shí)關(guān)注利用Serverless的網(wǎng)絡(luò)攻擊的日常檢測(cè)。文中通過試驗(yàn)驗(yàn)證了該技術(shù)實(shí)現(xiàn)隱藏身份的可行性,同時(shí)通過分析網(wǎng)絡(luò)流量,總結(jié)特征,從特征值檢測(cè)和訪問行為特征檢測(cè)兩個(gè)方面給出了檢測(cè)模型,并通過試驗(yàn)對(duì)檢測(cè)模型的正確性進(jìn)行了驗(yàn)證。由于云函數(shù)技術(shù)仍處于起步階段,其主要應(yīng)用領(lǐng)域集中在代碼開發(fā)領(lǐng)域,在網(wǎng)絡(luò)安全方面暫時(shí)沒有廣泛應(yīng)用和深入研究,可能應(yīng)用場(chǎng)景和檢測(cè)模型都有一定的局限性和誤報(bào),還需要結(jié)合人工進(jìn)行研判分析,后續(xù)將持續(xù)探索云函數(shù)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用以及HTTPs情況下的檢測(cè)方法研究。