美国有线电视新闻网(CNN)3月13日报道称,经过近一个月调查发现,俄罗斯操纵网络舆论的“巨魔军队”继2016年以来继续利用网络假消息干扰本届美国大选。该机构长期从事网络虚假消息活动,秘密设置大量伪造的 Twitter、Facebook以及其他社交媒体账户,以蛊惑西方民众。2016年,俄罗斯的“巨魔工厂”位于圣彼得堡的一个办公大楼,而今年,则将该工厂移到了地处西非的加纳和尼日利亚,显然,这次的手法更隐蔽,更具针对性、更难识别和跟踪。

网络舆论干扰国家大选是网络空间常见的一种攻击形式,随着网络空间在世界各国经济、政治、军事等领域战略制高点地位的提升,以及国家、组织间日益剧增的各种样式的网络攻击的频繁出现,如何对网络攻击进行追踪溯源,成为当今国际社会备受关注的网络空间安全问题。

一、 引 言

网络攻击追踪溯源,美国军方的说法是“Attribution”,中文直译为“归因”,一般指追踪网络攻击源头、溯源攻击者的过程。也有研究将“Traceback”和“Source Tracking”视为与“Attribution”同等意义。

近年来备受关注的APT(Advanced Persistent Threat,高级持续性威胁)就是一种典型的网络攻击表现形式,这种攻击针对特定目标(用户、公司或者组织)发起攻击,直接目的是隐蔽窃密或者破坏关键基础设施。与DDos为代表的攻击类型不同的是,后者没有区分攻击的指向性,APT则频繁使用跳板主机、跳板网络和公共网络服务进行网络攻击,追踪溯源难度更大。

二、 网络攻击追踪溯源技术研究现状

1. 全球态势

(1) 近十年全球APT典型案例

2010年, 震网攻击了伊朗的核工业基础设施, 造成约1000台铀浓缩离心机故障,迟滞了伊朗核计划,这是全球第一起引起广泛关注的网络攻击事件。2015 年初起,孟加拉等多国的SWIFT 银行转账系统先后遭到攻击,累计造成了近1亿美元的经济损失。2015年,乌克兰一家电力公司的SCADA系统遭到入侵,造成22.5万用户长达数小时的电力中断,给民众生活和国家安全造成了严重危害。2016年美国大选期间,“邮件门”丑闻引起美国政坛的巨大震动, 影响了美国大选走向。还有报告显示2019年乌克兰大选、2018年韩国平昌冬奥会、2017 年法国大选、2016 年台湾民选、2014年乌克兰大选, 也不同程度地受到了 APT 的干扰。

(2) 近十年ATP典型事件及溯源结论

2. 研究现状

以Cohen D为代表的研究团队将网络攻击追踪溯源划分为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构四个级别。首选在追踪溯源第一层上使用Input Debugging、Itrace、PPM、DPM、SPIE等网络数据包层面的技术方法;其次,第二层上使用内部监测、日志分析、网络流分析、事件响应分析等技术;再次,在第三层上总结的自然语言文档分析、Email分析、聊天记录分析、攻击代码分析、键盘信息分析等技术。

另一种具有代表性的研究方法则是根据不同的攻击场景,将网络攻击追踪溯源划分为虚假IP追踪、Botnet追踪、匿名网络追踪、跳板追踪和局域追踪五类问题,并将解决这五类问题的技术方法归纳为4中类型:包标记、流水印、日志记录和渗透测试。其中,包标记方法主要包括Itrace、PPM、DPM 技术,其作为网络数据包层面的追踪溯源方法,难以应对复杂的以APT为代表类型的网络攻击。流水印技术不需要修改协议, 也适用于加密流量, 甚至可以用来追踪溯源一些以匿名网络为跳板的网络攻击,但是流水印技术需要大量匿名网络基础设施的支持,因而不易实施,同时在技术上要保证水印检测的准确率也有一定难度存在。日志记录技术则是一种被动追踪溯源方法, 存在所记录的信息有限、可能被攻击者篡改的问题。渗透测试的方法可以为网络攻击的追踪溯源提供关键突破, 但是技术难度大并且存在司法可信性方面的疑问。

3. 存在不足

目前的研究基于的攻击场景多为诸如DDos的非定向网络攻击,没有区分攻击的指向性,在应对类似APT等频繁使用跳板主机、跳板网络和公共网络服务的网络攻击时,追踪溯源能力有限。

从技术细节来看, 现有技术手段以被动追踪溯源技术为主, 缺少主动获取追踪溯源关键信息方面的研究。网络攻击的隐蔽性和匿名性符合“木桶原理”, 因此, 追踪溯源的突破往往取决于若干少量的核心关键线索。被动追踪溯源收集到的是攻击者有意或无意泄露的信息, 线索质量难以满足溯源方的预期。需要结合主动溯源进行主动出击, 在司法允许的范围内,结合陷阱、诱捕、欺骗和软硬件特性利用等方法, 同时在攻击目标和攻击者两端获取高质量的关键溯源线索。

从系统性来看, 各类追踪溯源技术独立使用、各自为战, 而缺少定向网络攻击追踪溯源的整体模型研究。模型研究作为基础性工作, 可以有效整合现有策略、资源和技术手段,并应用于网络和系统的各个层面上, 形成面向追踪溯源的纵深化防御体系。

总体来看, 现有研究成果大多面向非定向网络攻击,而缺少专门面向定向网络攻击追踪溯源的理论和技术的研究。定向网络攻击是应用和业务层面上而非网络层面上的攻击,更具隐蔽性、匿名性、持久性和复杂性,追踪溯源的难度更大。同时, 定向网络攻击使用的攻击工具和攻击方法,也和非定向网络攻击有着显著的区别。因此,在定向网络攻击追踪溯源理论和技术方面, 需要进一步地创新。

三、 现有主流网络攻击溯源技术

1. 威胁情报技术

为了更加准确高效地追踪溯源网络攻击, 工业界提出了威胁情报(Threat Intelligence)这一概念。Gartner 曾给出了比较通用的威胁情报定义:威胁情报是一种基于证据的知识,包括威胁相关的上下文信息 (Context) 、 威 胁 所 使 用 的 方 法 机 制(Mechanisms)、威胁指标(Indicators)、攻击影响(Implications)以及应对建议(Actionable advices)等。威胁情报描述了现存的或者即将出现的针对资产的威胁或危险, 并可以用于通知受害一方针对威胁或危险采取应对措施。

2013年,David J. Bianco在总结威胁指标(IOC,Indicator of Compromise)类型及其攻防对抗价值的基础上, 建立了威胁情报价值金字塔模型(The Pyramid of Pain), 该模型揭示了防御者追踪溯源到不同的威胁指标时, 会导致攻击者付出的代价大小。2014年初,美国建立网络威胁情报整合中心,负责对各部门收集的情报分析,并为其他部门提供分析报告,加强应对网络威胁。2015年,研究学者杨泽明等明确指出“威胁情报的共享利用将是实现攻击溯源的重要技术手段”。目前,CERT、防病毒公司,安全服务公司,非政府安全组织等建立了各自的在线威胁情报平台, 提供查询和分析服务, 可以查看安全预警公告、漏洞公告、威胁通知等,帮助追踪溯源网络攻击。

威胁情报在网络攻击追踪溯源方面的优势在于其海量多来源知识库以及情报的共享机制。这些情报可以为追踪溯源工作提供有力支撑: 防御者将已掌握的溯源线索作为输入传递给威胁情报系统,后者通过关联和挖掘, 不断拓展线索的边界, 输出大量与已知线索存在关联的新线索。利用威胁情报“一键溯源”(自动化追踪溯源),是近年来学术界和工业界研究的热点。

图1 威胁情报追踪溯源原理图

2. Web客户端追踪技术

Web客户端追踪技术,主要是指用户使用客户端(通常是指浏览器)访问Web网站时,Web服务器通过一系列手段对用户客户端进行标记和识别,进而关联和分析用户行为的技术。基于浏览器及插件存储机制(如Cookie)的Web追踪,是该领域最早使用也是最广为人知的技术。随着前端技术的发展,许多新的Web追踪机制应运而生。近年来,有研究提出使用指纹技术跨网站追踪浏览器用户。

(1) Cookie追踪

1) Cookie同步

Cookie同步是指用户访问某A网站时,该网站通过页面跳转等方式将用户的Cookie发送到B网站,使得B网站获取到用户在A网站的用户隐私信息,研究人员通过访问了Alexa排名前1500网站,发现两个追踪者进行Cookie同步以后,可以把数据完全共享,就像是一个追踪者一样。

2) Evercookie

用户可以通过清空浏览器缓存等方式,清除已保存的Cookie,Evercookie将Cookie通过多种机制保存到系统多个地方,如果用户删除其中某几处的Cookie, Evercookie仍然可以恢复Cookie,如果开启本地共享对象(Local Shared Objects),Evercookie甚至可以跨浏览器传播。

(2) 浏览器指纹

1) 基本指纹

基本指纹是任何浏览器都具有的特征标识,比如硬件类型(Apple)、操作系统(Mac OS)、用户代理(Useragent)、系统字体、语言、屏幕分辨率、浏览器插件 (Flash,Silverlight, Java, etc)、浏览器扩展、浏览器设置(Do-Not-Track, etc)、时区差(BrowserGMT Offset)等众多信息。

2) 高级指纹

高级指纹是基于HTML5的方法,包括Canvas指纹、AudioContext指纹等。Canvas是HTML5中动态绘图的标签,每个浏览器生成不一样的图案。AudioContext生成与Canvas类似的指纹,前者是音频,后者是图片。

3) 硬件指纹

硬件指纹主要通过检测硬件模块获取信息,作为对基于软件的指纹的补充,主要的硬件模块有:GPU’s clock frequency、Camera、Speakers/Microphone、Motion sensors、GPS、Battery等。

4) 综合指纹

Web世界的指纹碰撞不可避免,将上述基本指纹和高级指纹综合起来,计算哈希值作为综合指纹,可以大大降低碰撞率。即为综合指纹。

(3) 跨浏览器指纹

上述指纹都是基于浏览器进行的,同一台电脑的不同浏览器具有不同的指纹信息,这样造成的结果是,当同一用户使用同一台电脑的不同浏览器时,服务方收集到的浏览器指纹信息不同,无法将该用户进行唯一性识别,进而无法有效分析该用户的的行为。学者研究了一种跨浏览器的浏览器指纹,其依赖于浏览器与操作系统和硬件底层进行交互进而分析计算出指纹,这种指纹对于同一台电脑的不同浏览器也是相同的。

(4) WebRTC

WebRTC(网页实时通信,Web Real Time Communication),是一个支持网页浏览器进行实时语音对话或视频对话的API,功能是让浏览器实时获取和交换视频、音频和数据。基于WebRTC的实时通讯功能,可以获取客户端的IP地址,包括本地内网地址和公网地址。

Web 客户端追踪技术在网络攻击中扮演着重要角色, 不仅是攻击者探测社工信息的重要平台, 还是投递攻击载荷的重要通道。浏览器指纹在溯源方面的一个重要应用场景便是跨网站追踪:攻击者同时拥有一个已公开的身份和一个未公开的身份,虽然两个身份访问了不同的网站, 但可以提取到相同的浏览器指纹, 这就可以通过指纹关联来溯源攻击者的真实身份。

3 网络欺骗技术

网络欺骗技术(Cyber Deception)由蜜罐技术演化而来。Gartner 将网络欺骗技术定义为:使用骗局或者假动作来阻挠或者推翻攻击者的认知过程, 扰乱攻击者的自动化工具, 延迟或阻断攻击者的活动, 通过使用虚假的响应、有意的混淆、以及假动作、误导等伪造信息达到“欺骗”的目的。

网络欺骗技术主要包括欺骗环境构建和蜜饵部署。欺骗环境构建依赖于虚拟化技术和蜜罐技术, 前者主要目的是模拟真实内网, 构建一个包括主机和网络拓扑的高仿真欺骗基础环境;后者则是在欺骗环境中部署包括大量泛业务的应用级蜜罐群。蜜饵部署主要是在可能的攻击路径上放置虚假的诱骗信息, 如代码注释、数字证书、Robots 文件、管理员密码、SSH 秘钥、VPN 秘钥、邮箱口令、ARP 记录、DNS 记录等, 从而诱使攻击者进入可控的欺骗环境。

网络欺骗技术在网络攻击追踪溯源方面的作用与优势可归纳为三个方面:

第一,发现网络攻击, 此为追踪溯源的前提。网络欺骗通过部署虚假环境和蜜饵, 吸引和误导攻击者, 一旦这些正常用户难以触及的资源被访问, 则表明网络极有可能正在被攻击。

第二,粘住网络攻击, 为溯源网络攻击赢得时间和机会。防御者通过欺骗手段将网络攻击逐步吸引至虚假的欺骗环境, 可以消耗攻击者的时间、精力和资源,减少其攻击重要真实系统的可能, 还能够大量暴露其 TTP, 从而为制定针对性的防御策略, 乃至溯源反制赢得主动。

第三,威慑网络攻击, 其核心能力是追踪溯源。如果攻击者意识到已落入欺骗陷阱, 这本身对其就是一种巨大的心理威慑,攻击行为已被发现, 溯源线索可能已经暴露。此外, 攻击者长期处于欺骗环境的监视之下, 防御者有充足的时间和空间部署工具、设置机关, 开展网络攻击追踪溯源工作, 从而形成反制和威慑。

四、 启 示

首先,网络攻击的追踪溯源是一门艺术:没有单纯的技术方法可能程式化、计算、量化或全自动实现溯源,无论这种技术是简单的还是复杂的。高质量的溯源取决于各种技巧、工具以及组织文化,合作顺畅的团队、能力突出的个人、丰富的经验。

其次,网络攻击的溯源依赖于政治风险。某个事件带来的后果越严重、造成的损失越大,政府在确定攻击者时可投入的资源和政治资本就会越多。在对某次攻击所采取的所有响应,包括执法、外交或军事手段中,溯源是最基本的一项工作,即首先需要明确攻击者是谁。政府决定如何开展溯源,以及溯源到何种程度就足以采取回应行动。

未来网络攻击追踪溯源会以一种“自相矛盾”的方式进行演变。

一方面,溯源正在变得更容易。更完善的入侵侦测系统能实时发现攻击,能更快地调用更多的数据。适应更强的网络将提高攻击行为的成本,消除不确定因素,节省出资源以更好的识别高级攻击。网络犯罪增多,能推动执法部门、甚至是不友好的国家间的跨部门合作,这也将使国对国的间谍行为更加难以隐藏,政治成本更高。

另一方面溯源也变得更加困难。攻击者能从被公开的错误中汲取教训。强加密技术使用的增多也给取证制造了更多的问题,制约了大规模数据的搜集。事实上,由于没有出现重大的后果,国家与非国家行为体可能不怎么担心被抓个正着,导致动力不足,溯源疲劳症也开始出现。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。