上兵伐謀,其次伐交,其次伐兵,其下攻城。——孫子兵法《謀攻篇》
引子
某些職業(yè)天生受人敬畏,因?yàn)樗腿说哪硞€(gè)優(yōu)秀特質(zhì)相連。舞蹈,讓人們想到優(yōu)美的形體;長(zhǎng)跑,讓人想到堅(jiān)毅的品質(zhì)。而黑客,讓人聯(lián)想到高超的技術(shù)。
現(xiàn)實(shí)世界的每一個(gè)個(gè)人和組織,都在網(wǎng)絡(luò)世界的版圖中對(duì)應(yīng)著屬于自己的一座或大或小的城池。而在險(xiǎn)惡的互聯(lián)網(wǎng)叢林中,每座城市都隨時(shí)面臨來(lái)自黑暗中的突施冷箭。
凡是武林中人,總有正邪之分。
邪惡的黑客,常常打著技術(shù)無(wú)罪的大旗,帶領(lǐng)盜匪企圖殺入城中燒殺搶掠;而正義的黑客,手握武器高立城頭,用正義的子彈射穿入侵者的喉嚨。
誠(chéng)然,很多人想到黑客,就會(huì)聯(lián)想到高超的技術(shù)。但是,當(dāng)你真正了解到賽博世界殊死搏斗的真相,你就會(huì)理解,對(duì)于黑客的最高褒賞,并不是攻城略地的高超技術(shù),而是不戰(zhàn)而屈人之兵的閃光智慧。
諸葛亮不費(fèi)一兵一卒,靠一曲琴音喝退司馬懿十萬(wàn)大軍,守衛(wèi)三分天下;
艾森豪威爾運(yùn)籌帷幄,讓德軍主力撲空加萊,才有人類的榮耀之日——諾曼底登陸;
《盜夢(mèng)空間》中的造夢(mèng)師們正是通過(guò)潛意識(shí)的進(jìn)攻,讓能源巨頭的繼承者費(fèi)舍自愿解散公司。
《孫子兵法》有云,攻城為下,攻心為上。
中國(guó)黑客的“欺騙系統(tǒng)”
黑客的世界之所以吸引人,恰恰因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)世界的一切幻想,都在這里真實(shí)地發(fā)生著。入侵企業(yè),獲得大量機(jī)密資料,可以在商場(chǎng)上給對(duì)手致命一擊。
這是一個(gè)真實(shí)的故事,某知名企業(yè)董事會(huì)剛剛散會(huì),競(jìng)爭(zhēng)對(duì)手的桌子上就擺好了他們的會(huì)議紀(jì)要;董事長(zhǎng)剛剛寫好的文件,自己公司還沒有來(lái)得及印發(fā),對(duì)手已經(jīng)全公司傳閱。自己企業(yè)最新設(shè)計(jì)的手機(jī)原型機(jī),還沒有來(lái)得及生產(chǎn),對(duì)手已經(jīng)根據(jù)圖紙進(jìn)行了仿造并且占領(lǐng)了市場(chǎng)。
我們看到的商業(yè)競(jìng)爭(zhēng),背后幾乎都有著不可言說(shuō)的賽博世界的血戰(zhàn),而這血戰(zhàn)背后可能決定著一個(gè)人一生的興衰榮辱。為了這個(gè)目標(biāo),邪惡的黑客們可以使出最惡毒的招數(shù)來(lái)滲透、入侵。
但是,這個(gè)世界之所以沒有讓人絕望透頂,恰恰是因?yàn)橛姓x的黑客挺身而出,自愿構(gòu)建一個(gè)強(qiáng)大的天網(wǎng),和邪惡作斗爭(zhēng)。這些黑客,就包括潛行十幾年,用自己的技術(shù)深刻改變了中國(guó)在世界政治中地位的中國(guó)第一代黑客 CP 和 la0wang,還有曾經(jīng)在騰訊一馬當(dāng)先抵御網(wǎng)絡(luò)黑產(chǎn)的安全大牛 Oscar 和可以用一串代碼平趟所有網(wǎng)站的烏云一哥 Jannock。
2014年,這些代表了全中國(guó)最強(qiáng)黑客火力的黑客們走到了一起,成立了一家名為“錦行科技”的“團(tuán)伙”。這個(gè)團(tuán)伙的首要目標(biāo),就是要消滅黑客雇傭兵對(duì)于企業(yè)骯臟的攻擊和瘋狂的信息竊取。
而他們的獨(dú)門武器,就是“網(wǎng)絡(luò)空間欺騙系統(tǒng)”——幻云。
從哲學(xué)上來(lái)看,這世間一切的成就,都來(lái)自于對(duì)信息的確定。例如,
如果你可以看透對(duì)手下一步要走的棋子,那么你就會(huì)勝券在握;
如果你可以偵聽到女神的思維信息,那么你表白成功的概率就會(huì)暴增;
如果你確定知道明天有哪支股票會(huì)漲,那么你一定可以身價(jià)翻倍。
但是,如果你以為是確定的信息,在事實(shí)上都是假的呢?讓對(duì)手相信他掌握了你的確定信息,而這恰恰是你制造出來(lái)的幻覺,這就已經(jīng)在防御上處于絕對(duì)的上風(fēng)。簡(jiǎn)單來(lái)說(shuō),幻云就試圖制造這樣一個(gè)欺騙系統(tǒng),讓入侵的黑客以為自己進(jìn)入了企業(yè)內(nèi)部,而實(shí)際上他只是進(jìn)入了一個(gè)精心構(gòu)建的虛擬世界,一個(gè)如來(lái)佛祖掌握在手心的盜夢(mèng)空間,一個(gè)他每走一步就多暴露自己一點(diǎn)的玻璃屋中。
蜜罐、蜜網(wǎng)和蜜場(chǎng)
剛剛扯的那么多欺騙哲學(xué),究竟要怎么實(shí)現(xiàn)呢?
雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))宅客頻道有機(jī)會(huì)和錦行科技的幾位大牛對(duì)談,他們提出了三個(gè)有趣的概念:蜜罐、蜜網(wǎng)和蜜場(chǎng)。
蜜罐
蜜罐是一個(gè)非常形象的詞匯:蜜 + 罐,英文單詞也是 honey + pot。
蜜代表了甜頭好處,也就是攻擊者有可能感興趣的特征,而罐代表了一個(gè)環(huán)境,通過(guò)這個(gè)環(huán)境,可以捕捉入侵者的行為。
形象地說(shuō),這就像生長(zhǎng)在美洲的捕蠅草。利用甜美的氣息吸引蒼蠅前來(lái)覓食,然而一旦蒼蠅進(jìn)入陷阱,它的命運(yùn)就會(huì)急轉(zhuǎn)直下。
雖說(shuō)進(jìn)入蜜罐的黑客并不會(huì)葬身于此,但是卻留下了自己的攻擊工具和攻擊痕跡。研究了黑客使用的工具,防御者就可以輕松研發(fā)相對(duì)應(yīng)的對(duì)抗工具,就像人的肌體,獲得了對(duì)新病毒的免疫能力。
錦行科技產(chǎn)品總監(jiān)胡鵬為雷鋒網(wǎng)宅客頻道進(jìn)行了簡(jiǎn)單的科普,
蜜罐一般分為低交互蜜罐和高交互蜜罐,低交互蜜罐一般用于報(bào)警或者獲取一些攻擊代碼,高交互蜜罐用于深入觀察攻擊者行為并分析。
但是總體來(lái)說(shuō),蜜罐的問(wèn)題在于,環(huán)境過(guò)于單一,特征很明顯,攻擊者容易識(shí)別。
想象一下,如果蒼蠅都記住了捕蠅草的形狀,相信捕蠅草今后只能捕到各種磚頭石塊了。
蜜網(wǎng)
簡(jiǎn)單來(lái)說(shuō),蜜網(wǎng)就是有組織的蜜罐,用各式蜜罐來(lái)構(gòu)建一個(gè)欺騙網(wǎng)絡(luò)。對(duì)于黑客來(lái)說(shuō),在賽博空間內(nèi)他們無(wú)法依靠視覺。他們就像一個(gè)小偷潛入一個(gè)漆黑的別墅,其中所有的陳設(shè)都需要他們靠手來(lái)觸摸,然后自己標(biāo)記,在心里繪制出一副他們“想象中”的內(nèi)部地圖。
如果潛入的黑客是一個(gè)經(jīng)驗(yàn)老到的慣犯,僅僅摸到一個(gè)假門,仔細(xì)摸索發(fā)現(xiàn)門后空無(wú)一物,那么他就可以判定這道門就是一個(gè)蜜罐。
然而如果用不同的蜜罐組成蜜網(wǎng),小偷就會(huì)相信門后面有一個(gè)房間,里面陳設(shè)著衣柜沙發(fā)書桌等等。在小偷摸索的過(guò)程中,蜜網(wǎng)設(shè)置者就有更充足的時(shí)間來(lái)觀察來(lái)者,等待他使用更多的進(jìn)攻工具,從而制造出更全面的防護(hù)武器。
但是,正如剛才的比喻,蜜網(wǎng)只是一個(gè)假設(shè)在真實(shí)別墅里的虛擬房間,小偷在摸進(jìn)蜜網(wǎng)之前,勢(shì)必有可能經(jīng)過(guò)其他真實(shí)的房間,由于蜜網(wǎng)設(shè)置在企業(yè)真實(shí)的系統(tǒng)之內(nèi),對(duì)于企業(yè)來(lái)說(shuō),仍然存在被黑客攻擊的可能。
于是蜜場(chǎng)就出現(xiàn)了。
蜜場(chǎng)
所謂蜜場(chǎng),就是利用蜜罐、蜜網(wǎng)完整模擬出一個(gè)公司的所有架構(gòu)。相當(dāng)于再造一個(gè)企業(yè)的別墅,然后放一個(gè)傳送門(重定向器),一旦探測(cè)到可能的攻擊,就直接把黑客的流量轉(zhuǎn)移到假的別墅(蜜場(chǎng))中。
只要黑客進(jìn)入蜜場(chǎng),他想要的一切都可以被“找到”,他要的核心經(jīng)營(yíng)數(shù)據(jù)就放在辦公桌上,他要的財(cái)務(wù)報(bào)表就在保險(xiǎn)柜里,他要的組織人員架構(gòu)圖就在書架上。
這一切,都是根據(jù)企業(yè)真實(shí)的情況翻版出來(lái)的假象,當(dāng)然,所有的數(shù)據(jù)都是假的。
這個(gè)偽造的“蜜場(chǎng)”和企業(yè)的真實(shí)環(huán)境究竟有多相似呢?
錦行科技首席安全官 la0wang(王俊卿)告訴雷鋒網(wǎng)宅客頻道:
一個(gè)蜜場(chǎng)其實(shí)并不用和企業(yè)真實(shí)的網(wǎng)絡(luò)架構(gòu)100%相似,而是要和黑客想象中的企業(yè)網(wǎng)絡(luò)架構(gòu)100%一樣。因?yàn)楹诳透緵]有見過(guò)企業(yè)真實(shí)的網(wǎng)絡(luò),所以他只會(huì)把摸到的情況和想象中比對(duì),越是靠近想象,他們就越不懷疑自己入侵了假的系統(tǒng)。
【蜜罐、蜜網(wǎng)、蜜場(chǎng)的邏輯結(jié)構(gòu)】
蜜場(chǎng)之內(nèi)的“盜夢(mèng)空間”:幻云
自古兵不厭詐,蜜場(chǎng)的概念人們都可以理解。但是,一個(gè)好的“欺騙系統(tǒng)”,很重要的一步恰恰是第一步:把黑客引入這個(gè)“盜夢(mèng)空間”。
由于企業(yè)內(nèi)部網(wǎng)絡(luò)需要正常運(yùn)營(yíng),必須對(duì)有權(quán)限的好人提供服務(wù)的同時(shí),把壞人引向另一個(gè)時(shí)空的“欺騙系統(tǒng)”——幻云。
所以企業(yè)內(nèi)網(wǎng)需要掌握的一項(xiàng)重要能力,就是分辨好人和壞人。
對(duì)此,這些大牛黑客們?cè)O(shè)計(jì)出了一套精巧的驗(yàn)證系統(tǒng)。
由于我們做了將近二十年的安全測(cè)試,很多時(shí)候都是在對(duì)方基層員工根本不知情的情況下嘗試突破系統(tǒng)的防守。所以,我們對(duì)于攻擊者的理解是非常深刻的。我們能夠清楚地分辨出哪些行為是正常的,哪些行為是只有入侵黑客才會(huì)做的。
這些特征并不是什么很明顯的動(dòng)作,而可能是一個(gè)非常小的端口檢索動(dòng)作,或者一種不同尋常的查詢方法,就像一個(gè)老刑警可以通過(guò)一個(gè)小動(dòng)作就鎖定小偷。
la0wang 如是說(shuō)。
還是回到小偷和別墅的比喻。小偷進(jìn)入別墅之后,會(huì)摸到幾扇相同的門。作為竊賊沒辦法分辨哪個(gè)門后面才有有價(jià)值的資料,于是他的做法一定是先試著把幾扇門都撬一下。其中有一扇門不用很大的力氣就被撬開,小偷一定會(huì)選擇先進(jìn)入這個(gè)房間看一看。
沒錯(cuò),這扇最好撬開的門恰恰就是蜜場(chǎng)的入口。
一旦被定向到蜜場(chǎng),小偷的世界就被偷天換日,即使他很快退出這個(gè)屋子,外面的一切都已經(jīng)被悄悄替換成了蜜場(chǎng)。
我不需要所有真實(shí)的門鎖都非常強(qiáng),我只需要所有真實(shí)的門鎖都強(qiáng)于這個(gè)通向幻云的門鎖,就夠了。
老王說(shuō)。
這扇虛假的門用專業(yè)術(shù)語(yǔ)稱為:誘捕節(jié)點(diǎn)。實(shí)際上誘捕節(jié)點(diǎn)可以部署在網(wǎng)絡(luò)環(huán)境中的很多部位,例如:辦公網(wǎng)絡(luò)、DMZ區(qū)(隔離區(qū))、核心數(shù)據(jù)區(qū)等。只要入侵黑客碰到了任何一個(gè)節(jié)點(diǎn),都會(huì)瞬間被定向到“盜夢(mèng)空間”,永遠(yuǎn)無(wú)法返回。
【攻擊流重定向示意圖】
我們的目標(biāo)是:怒懟黑客
既然來(lái)了,就別走了。
這一定是欺騙系統(tǒng)最想對(duì)入侵黑客說(shuō)的話。
由于提供了逼真的環(huán)境,黑客不僅不會(huì)對(duì)所處的環(huán)境產(chǎn)生懷疑,反而會(huì)對(duì)自己的技術(shù)沾沾自喜。而在這個(gè)時(shí)候,就是監(jiān)視黑客的好機(jī)會(huì)了。
【幻云系統(tǒng)截圖】
來(lái)拍個(gè)照片吧:黑客全景錄像
黑客得意洋洋地穿梭在幻云中,系統(tǒng)會(huì)記錄攻擊過(guò)程中的網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)數(shù)據(jù)、各種類型的行為數(shù)據(jù)。
這些數(shù)據(jù)詳盡到令人發(fā)指。胡鵬介紹說(shuō):
我們收集數(shù)據(jù)的比例是 1:50。這個(gè)比例是什么呢?比如我們捕獲到攻擊者的一條攻擊指令,我們會(huì)同時(shí)獲取近50個(gè)項(xiàng)目的相關(guān)信息,包括這條指令的附屬信息、關(guān)聯(lián)信息、環(huán)境信息等等,凡是和這條指令相關(guān)的數(shù)據(jù),我們?nèi)勘4妗?/p>
為什么這么做?因?yàn)楣舻倪^(guò)程非常寶貴,尤其是內(nèi)網(wǎng)滲透的全過(guò)程,如果我們沒有保存那么多數(shù)據(jù),如果后續(xù)的分析環(huán)節(jié)就可能受影響,如果我們保存了足夠多的數(shù)據(jù),那么就為后續(xù)的分析打下了一個(gè)良好的數(shù)據(jù)基礎(chǔ)。所以,我們決定保存足夠詳盡的攻擊數(shù)據(jù)。
當(dāng)然,所有收集信息的過(guò)程,必須是完全地悄無(wú)聲息。因?yàn)楣粽咭坏┌l(fā)現(xiàn)了破綻,很可能馬上離開,或者選擇反過(guò)來(lái)做很多迷惑對(duì)手的行為。
la0wang 說(shuō):
我們使用了非常隱蔽的無(wú)痕監(jiān)控技術(shù),就像一間屋子的地下有著震動(dòng)感應(yīng)的傳感器,黑客在屋子里看不到任何東西,但是他的一舉一動(dòng)都會(huì)通過(guò)震動(dòng)波被記錄下來(lái)。攻擊者可以很開心地在我們的環(huán)境中攻擊,我們可以很開心地采集攻擊者的行為數(shù)據(jù)。何樂(lè)而不為呢?
來(lái)看看照片吧:通過(guò)“語(yǔ)境”判斷攻擊意圖
有了豐富詳實(shí)的數(shù)據(jù)基礎(chǔ),就可以開始行為分析了。這其中設(shè)計(jì)一個(gè)有趣的技巧,就是攻擊者的“語(yǔ)境”。
簡(jiǎn)單舉個(gè)例子:
這是微信上一段對(duì)話的截圖,從對(duì)話中可以看到是右邊的人想向左邊的權(quán)哥借5000塊錢,那么是不是這樣的呢?我們?cè)倏吹诙鶊D:
看了第二幅我們才知道原來(lái)是左邊的權(quán)哥欠了人家的錢不還,而且還說(shuō)話不算數(shù),故意抵賴。其實(shí)這個(gè)借錢不還的故事還有很長(zhǎng)很精彩,篇幅所限,我只截了其中一小段。用這個(gè)例子說(shuō)明什么呢?
如果不是在一個(gè)連續(xù)的、完整的語(yǔ)境環(huán)境中,那么我們針對(duì)數(shù)據(jù)的分析結(jié)果很有可能是錯(cuò)誤的結(jié)果。
所以,一個(gè)完整的攻擊語(yǔ)境包括:行為上下文、攻擊時(shí)間、所處業(yè)務(wù)場(chǎng)景、目標(biāo)對(duì)象等與攻擊有關(guān)的語(yǔ)境因素。
胡鵬為我們舉了幾個(gè)簡(jiǎn)單的例子:
業(yè)務(wù)場(chǎng)景:我們的欺騙環(huán)境是由不同的業(yè)務(wù)場(chǎng)景組成的,比如有辦公區(qū)、DMZ區(qū)、核心數(shù)據(jù)區(qū)等,那么不同場(chǎng)景下相同的動(dòng)作就會(huì)有不同的含義,我們的分析都是在特定的業(yè)務(wù)場(chǎng)景中展開的。
重要環(huán)節(jié):在攻擊過(guò)程中,攻擊者在不同的環(huán)節(jié),會(huì)有不同的動(dòng)作特點(diǎn),比如剛進(jìn)入內(nèi)網(wǎng)時(shí)的探測(cè)、探測(cè)之后的滲透、得手之后的獲取數(shù)據(jù)、走的時(shí)候清除痕跡等,這些都是攻擊過(guò)程中的重要環(huán)節(jié),針對(duì)重要環(huán)節(jié)的分析可以讓我們從紛繁復(fù)雜的數(shù)據(jù)中整理出一個(gè)有序的過(guò)程,整個(gè)分析的結(jié)果會(huì)更加清晰。
關(guān)鍵路徑:攻擊者在攻擊過(guò)程中會(huì)形成一定的攻擊路徑,也就是攻擊者是如何一步步的達(dá)成目標(biāo)的,經(jīng)過(guò)哪些關(guān)鍵的位置,這個(gè)過(guò)程中比如攻擊者是如何挑選不同的進(jìn)攻路徑的,比如如何從辦公區(qū)進(jìn)入核心數(shù)據(jù)區(qū),攻擊者需要先找到運(yùn)維人員或者管理員的那臺(tái)機(jī)器進(jìn)入,那么這個(gè)運(yùn)維人員或者管理員就是攻擊路徑中的關(guān)鍵點(diǎn),通過(guò)對(duì)關(guān)鍵路徑的分析,可以看出攻擊者的進(jìn)攻思路和攻擊技巧。
習(xí)慣特征:攻擊者在攻擊時(shí)不可避免的會(huì)呈現(xiàn)出個(gè)人的習(xí)慣特點(diǎn),比如輸入的指令,有的攻擊者進(jìn)去之后會(huì)習(xí)慣經(jīng)常性查看是否有其他用戶在線,有的攻擊者習(xí)慣經(jīng)常性的查看進(jìn)程,有的習(xí)慣一進(jìn)去就翻文件,從這些特征入手,我們可以分析攻擊者的習(xí)慣特征,用來(lái)給攻擊者畫像。
來(lái)找到主角吧:黑客溯源
有了以上的動(dòng)作,防御者就得到了寶貴的信息,這些信息有:
攻擊者的來(lái)源:他從哪里發(fā)起了攻擊。
攻擊者的思路:他究竟挑選了什么樣的路徑,一步一步得到他想要的信息。
攻擊者的身份:他使用了什么工具,有怎樣的攻擊特點(diǎn)。
攻擊者的證據(jù):他所有攻擊行為的罪證。
有了這些信息,原則上來(lái)說(shuō)就可以鎖定入侵黑客的身份和背景。從這一刻起,賽博世界的戰(zhàn)役勝負(fù)已分。剩下的,就是法律和正義在真實(shí)世界對(duì)黑客肉身的懲處。
小結(jié)·采訪手記
網(wǎng)絡(luò)世界是現(xiàn)實(shí)世界的翻版。幾乎所有人都承認(rèn)這個(gè)悲傷的結(jié)論:只要有人的地方,就有著陰謀和構(gòu)陷。
不幸的是,網(wǎng)絡(luò)世界比真實(shí)世界更浩淼,更繁復(fù)。正義的光芒難以照射這個(gè)空間的一切折痕溝回。更多的時(shí)候,這像一個(gè)黑暗的森林,我們需要用武器來(lái)武裝自己,對(duì)抗黑暗中侵襲而來(lái)的槍彈。
所謂大道至簡(jiǎn),縱然網(wǎng)絡(luò)空間對(duì)于中國(guó)來(lái)說(shuō)是舶來(lái)品,但“欺騙防御”卻根植在中國(guó)的戰(zhàn)爭(zhēng)哲學(xué)之中。在這一點(diǎn)上,中國(guó)正義黑客的嘗試值得欽佩。
對(duì)付暴力的最好武器,不是暴力,而是欺騙。