以牙还牙是对付网络***的解决之道吗？

http://netsecurity.51cto.com 2011-02-02 16:18 布加迪编译 51CTO.com 我要评论(0)

摘要：执法部门对于网络***表示不满，但出席黑帽大会的几位发言人主张利用***工具和僵尸网络存在的漏洞，对***者予以还击。报复性***应该成为大企业IT部门用来对付网络***的另一种安全工具吗？
标签：网络*** 解决之道

【51CTO.com 精彩翻译】执法部门对于网络***表示不满，但出席黑帽大会的几位发言人主张利用***工具和僵尸网络存在的漏洞，对***者予以还击。报复性***应该成为大企业IT部门用来对付网络***的另一种安全工具吗？

这是个颇有争议的想法，执法部门对于网络***通常表示不满；但是近日在美国首都华盛顿举办的黑帽大会上，几位发言人探讨了这个话题：敌人显然在利用***工具闯入企业网络，恶意破坏企业数据安全，那么企业要不要予以还击？如何还击？

在会上备受关注的一个想法是，有人提出利用***工具和僵尸网络存在的漏洞，设法确定***者在找什么目标下手或者设法提供虚假数据，或者甚至是潜入***者的网络大本营。

TEHTRI-Security是一家总部设在法国的道德***行为和漏洞研究公司，该公司创办人兼首席执行官Laurent Oudot在黑帽大会上发言时表示，要是结果查明***者已接管了企业系统，你自然而然想要“予以还击”，查清楚***者在搞什么名堂，采用的手段有可能是找到对方所用的***工具存在的漏洞，然后植下你自己的后门，悄悄监视***者。

Oudot说：“我们想要奋力还击。我们想要钻对方网络的空子。”你需要与***者有关的统计数字和日志，有可能借助这个想法：***Zeus或SpyEye，甚至***由某个国家在背后资助的***者。Oudot特别指出，要找到便于破坏***工具的零日漏洞并不是很复杂。他公司在识别漏洞方面有着丰富的经验，包括与移动设备有关的几个漏洞。他表示，还击像Eleonore这样的***工具包，或者有意将虚假信息提供给***者，其实相当简单。他说：“你能奋力还击。你的敌人又不是什么道德***。”

安全研究人员Matthew Weeks最近加入了美国空军，他也谈论了对显然利用***工具闯入网络的***要不要还以颜色的问题，承认执法部门可能会认为大多数予以还击的想法是违法的。

但是作为开源版Metasploit的开发者之一（这个工具用来测试和探测网络漏洞，既可以用在正道上，也可以用在歪道上），Weeks表示，诸如此类的工具存在自己的漏洞，就像任何一种软件一样，***者可能没有注意到要给自己的***工具打上补丁。

他在会上继续深入地探讨了开源Metasploit存在的一些漏洞。他还表示，同样可以用于***的其他工具也存在漏洞，比如Nessus或者Wireshark协议分析工具。
虽然进行反击的想法仍然有争议，特别是由于可能会造成“意想不到的后果”，但Weeks特别指出，作为安全研究人员，他自己倾向于研究如何运用像“tarpits”这样的对策：一旦***者相互联系，这种对策会让他们进入死循环。

Weeks表示，这样有可能“将***中的一些资源搁置起来”；监测***在搞什么名堂是明智之举。现在还很少有证据表明，公司企业或文职政府机构在试图采用这些方式，以其人之矛攻其人之盾，对付***者；但是世界上几个国家（包括美国）的军事部门正在增强网络军事力量，致力于支援报复性打击能力。而谁也没有否认发生在网络空间的间谍行为。

漫长的较量

虽然以暴治暴也许能够遏制网络***威胁，但黑帽大会上的几位发言人表示，数据窃贼还是在轻而易举地潜入企业网络——在有些情况下，只要诱骗某个被盯上的受害者打开一封网络钓鱼电子邮件这么简单。据安全公司Mandiant声称，数据窃贼通过这个途径趁机而入，收集最有价值的信息；他们往往在几个月、甚至几年内有条不紊地着手这种***；所以想要将他们逮个现行，关键得有耐心。

Mandiant分享了其事件响应小组在调查中发现的一些结果，并且特别指出：数据网络窃取常常是个有条不紊的漫长过程，绝对不是抢来就跑的一次性事件。***者通常通过针对某一个员工的网络钓鱼电子邮件潜入进去，进而控制住基于Windows的计算机，然后开始在网络上四处搜索，寻找最有价值的数据，之后开始在已中招的机器上的“集结区”（staging area）收集数据，企图最终通过RAR文件之类的数据容器，将这些数据传送出去。

谈到***者如何偷偷将数据传送到网络外面的话题时，Mandiant公司的安全顾问Sean Coyne表示，在许多情况下，“***者在那里潜伏了好几个月，甚至好几年。”他特别指出，一家受到***的国防承包商事后发现，在几个月期间，超过120GB的数据（主要是Word文档）被人偷偷收集起来，***者挑选了一个集结区，把偷来的数据集中打包，然后用RAR、ZIP或CAB文件等数字容器发送出去。

他指出：“发送一个大文件要比发送几个小文件来得容易。大多数企业的IT用户完全没有注意到”，尽管他们可能在想为什么自己的计算机（被用作了集结点）突然速度似乎变慢了。

***者常常使用后门特洛伊***和数据收集工具，比如一款名为Poison Ivy的工具。据Mandiant声称，但数据窃贼善于躲避，他们很多时候采用手动方法，而不是自动方法，避开安全控制措施，比如***预防系统或数据丢失预防（DLP）。

Mandiant的顾问Ryan Kazanciyan表示，他看到过这样一个案例：一家不幸中招的企业在使用迈克菲主机***预防系统来查找RAR文件，但***者发觉原来的***手法引发警报后，完全换了一种监视不到的***手法。

Coyne表示，“有些坏人会采用能想到的一切手法”，然后伺机将数据发送出去；有的人“对***手法精挑细选”。不过证据表明，如今的数据窃贼倾向于采用适合自己风格的惯用方法。

被问到旨在监视或阻止有人企图未经授权，将数据传送到企业外面的DLP工具在对付数据外泄方面是否有效时，Kazanciyan和Coyne都表示了怀疑。

DLP主要是用来“防止用户意外向外发送文件，”Coyne说。“它不是为了应对针对性***而设计的。”Kazanciyan表达了类似的观点。如果企业怀疑有数据窃贼在搞鬼，要做的头一件事就是“不要恐慌，”Coyne说。要是轻率地对网络进行改动，只会让***者起疑心，从而改变***手法。这是基于风险的决定；但暂时可能需要作出决定，监视被窃取的数据，不管这个过程有多痛苦，同时另一头悄悄地搜寻，查清楚***者在企业网络里面所做的手脚。

链接：安全注意事项

怀疑遭遇了网络窃贼？

下面是安全公司Mandiant在安全注意事项方面给出的几个要点。

•要明白***者可能潜伏了好几个月，甚至潜伏了好几年；你的目的是要立即遏制对方。

•调查工作需要侧重于查找证据，比如***者经常在使用RAR文件这种数据容器，将大量数据发送出去之前用来存储数据的集结区。

•由于大多数针对性***是从针对员工的网络钓鱼电子邮件入手的，所以要加强安全教育和技术措施。

•不要恐慌，因为那样***者会知道你盯上了他们，他们就会改变***手法。

•不要匆忙清除电脑，并重新制作镜像，因为你可能毁掉了取证分析所需要的证据。

•不要让你的网络仍然是“扁平的”——添加虚拟局域网之类的隔离环境会有所帮助。

【51CTO.com独家译稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】

【编辑推荐】

最新网络钓鱼：单次***多个实体
Yersinia：一款支持多协议的底层***检测工具
DDoS***：网络战争的尖头兵
Anonymous******乌合之众

【责任编辑：王文文 TEL：（010）68476606】

职场 IT管理休闲

微博 QQ 微信

上一篇：应用程序安全专业知识:WAF服务... 下一篇：数据中心整合成为2011年的当务...

51bom

492篇文章，19W+人气，0粉丝

转载于:https://blog.51cto.com/2189440bop58/490610