黑客獲取資料資訊的目的和進攻手段

　一般來講，黑客執行下一步的網路攻擊都需要非靜態資料，而進攻取證是一種捕獲這種非靜態資料的黑客攻擊技術”，計算機取證和電子搜尋公司LLC伯克利分校研究小組的首席研究員Joe Sremack表示。

　　在進攻取證過程中，黑客捕捉記憶體中的非靜態資料用以獲取密碼、加密金鑰以及活躍網路會話資料，這些都可以幫助他們不受任何限制地訪問寶貴資料資源。

　　為了說明這一點，舉一個進攻取證攻擊的簡單例子。進攻取證攻擊過成功中黑客會捕捉Windows剪貼簿，這是一個不夠精明的企業網路使用者經常複製和貼上安全密碼的地方。黑客通常利用Flash的漏洞來展開這種型別的攻擊。

　　“黑客往往利用瀏覽器中的Flash外掛結合較弱的甚至錯誤的配置來讀取瀏覽器的完整資訊，包括記憶體中的密碼，”Sremack說。

　　安全意識是擊敗進攻取證的第一步技巧和戰術，及時的行動是第二步。

　　目的和手段

　　黑客使用進攻取證獲取憑證，如使用者名稱和密碼。這些都允許他們訪問敏感資料同時能夠隱瞞自己的身份，以拖延攻擊時被發現的時間並避免暴露自己的行蹤。

　　“他們還想延長時間，以便於其在被發現之前有充足的時間去訪問系統和目標資料，從而增加其犯罪所得，” 安全和風險管理公司Neohapsis的首席安全顧問Scott Hazdra說。

　　黑客尋找這種以半永久記憶的形式存在如RAM記憶體或交換檔案中的動態/非靜態資料。

　　“Windows臨時檔案、Windows或Mac的剪貼簿、從一個Telnet或FTP應用程式中未加密的登入資料，和web瀏覽器快取等都是非靜態資料目標，”Sremack說。

　　一旦黑客獲得暫時儲存在明文中的使用者ID和密碼，他們就可以進入下一個等級的訪問，進一步獲取資源，如內部網站、文件管理系統和SharePoint站點，Sremack解釋道。

　　“這基本上是一個黑客必須使用鍵盤記錄器才能夠檢索到的資訊的途徑，但沒有鍵盤記錄器，”Sremack說。

　　這對於黑客來說極為重要，因為反病毒和反惡意軟體工具可以檢測並移除鍵盤記錄。黑客們則執行其他的各種工具，比如檢視剪貼簿、登錄檔或者電腦用明文儲存這些資料的任何工具。

　　這些工具，為黑客實時進行這些進攻時成為一件免費的福利，並且極容易接入網際網路。雖然Linux上有工具，但是通常犯這種典型錯誤(以明文將密碼儲存在剪貼簿)的人使在工作站的終端使用者進行攻擊取證成為可能，而這些使用者通常執行Windows和Mac作業系統。

　　一些黑客使用特定的工具包括指令碼工具作為取證的利器。

　　“還有大範圍用於此用途的各樣其他工具，包括免費的和高價的，比如FTK成像儀、RedLine、Volatility, CAINE, 和HELIX3 ”，Hazdra說。

　　企業響應

　　“進攻取證很難計數，因為攻擊目標機器中的檔案可能是安全的，而且傳統標準也將宣佈系統是安全的，但是入侵者卻能夠訪問機器並能捕捉記憶體，”Sremack說。

　　對付進攻取證的方法包括執行能夠掩藏和保護記憶體資料的安全功能。這些型別的應用程式包括KeePass和KeeScrambler。KeePass是一個加密的剪貼簿工具，能夠自動清除剪貼簿歷史;KeeScrambler則加密瀏覽歷史。

　　“每當使用者將字母鍵入瀏覽器，系統就會加密以防止黑客讀取儲存在記憶體中的資料，”Sremack解釋道。目前有免費版的KeeScrambler;同樣能對付鍵盤記錄程式的還有付費版本。

　　最佳實踐要求一個企業網路使用者必須在一個特定的機器上登陸進行系統活動，這樣一來，黑客就更難以消除自己的行蹤。此外，企業應該使用檔案系統可僅標記檔案為“附錄”的特性(不會刪除或覆蓋現有的資料)，這樣即使是那臺特定機器的系統管理員都無權刪除所寫，除非機器進入離線維護模式，Lancope的技術長TK Keanini這樣解釋道。

　　放眼大局來看，企業必須做足充分準備，以針對進攻取證襲擊作出有效的事件響應。一個企業應該從三個等級做好救援事件響應準備，Keanini說，每一個等級需要新增一個維度來補充上一個等級力所不及的。

　　“即使攻擊者可以規避其中的一個等級，他們還是終將暴露在其他等級中，“Keanini說。

　　第一個等級是端點遙測。每個端點應該有一些負責操作整個裝置的系統級程式。

　　“雖然你永遠不能做到100%的準確率，然而百分之零的準確率是絕對不可接受的，”Keanini說。

　　第二個等級是閘道器和接入點遙測。在網路的入口和出口上，一些技術應該記錄入站和出站連線。這將為網路互聯提供檢測和網路取證的依據。

　　第三個等級是基礎設施遙測。

　　“所有的網路基礎設施應該展示未取樣的Netflow/IPFIX(流量分析 /網際網路協議流資訊輸出)，”Keanini認為，IT安全利用跟蹤所有後設資料水平下網路流量的工具來收集這些資料集。

　　“這個資料集作為網路的總帳目，能夠提供給你網路中最完整的活動列表，”Keanini說。

　　如果一個企業用三個等級的遙測技術來武裝其自身安全，幾乎沒有任何攻擊或者攻擊者可以找到藏身之處。

　　Keanini認為，“更重要的是，當黑客進行某種形式的資料探勘時，在執行其他階段的攻擊時其仍然要想方設法地去掩藏自己。”

　　在運營階段，企業可以發現具備這些遙測水平的攻擊者，並在黑客完成進攻目標之前做出相應部署。

　　企業需要時刻留意進攻取證，它像其他攻擊技術一樣將持續發展進化。進行網路犯罪的黑客將使用一切可能的工具來完成網路進攻，即使該工具本身是良性的，網路黑客也會背離其設計者的初衷而在犯罪過程中歪曲地使用它。

　　首席安全官和首席資訊保安官們需要不斷對其IT團隊和安全團隊進行技術培訓，來讓他們知曉當前的最新威脅及破解途徑。大多數IT安全團隊最終還是需要最新的工具來檢測進攻取證攻擊的，Hazdra說。

　　高價值資產需要最先進的保護模式，以便安全團隊能夠檢測威脅並防止黑客利用取證工具竊取企業資料，Hazdra認為。

　　“未經授權使用這些工具的情況很可能發生於大多數企業和組織網路管理的盲區。因為管理員會監控包括網路流量、檔案完整性、入侵檢測和未經授權的訪問嘗試等在內的行為，卻沒有適當的工具來檢測系統上執行記憶體轉儲的人或者其安全團隊是否在使用進攻取證工具，”Hazdra解釋道。