前言:本文中的技術僅供交流,如有疏漏還請大家批評指正
14號跟女票下班之後直接去電影院看速8,當然看完速8之後並沒有去速八而是直接回了家。首先對電影給個正面的評價,但是本人作為一個資訊保安從業者,有必要扒一扒裡面的黑客技術。
裡面涉及到黑客技術的東西主要有兩個——天眼(The Eye)和殭屍車隊(Zombie Cars)。
對於這兩個東西其實和現實當中兩項比較前沿的安全技術相關——汽車及物聯網安全和攻擊者溯源,對於汽車安全這一部分,我的基友鬧心均@Selfighter是磚家中的磚家,可惜人在HITB,所以我先很業餘的說一些這方面的東西。
首先我們先來說說智慧汽車和非智慧汽車,智慧汽車其實就可以當做一個物聯網裝置來解決,也就是說智慧汽車的攻擊面和其他IoT裝置的攻擊面是差不多甚至更多的。
其實汽車和計算機一樣,內部通訊依靠匯流排進行,汽車中的匯流排是CAN匯流排。CAN網路是由以研發和生產汽車電子產品著稱的德國BOSCH公司開發的,並最終成為國際標準(ISO 11898),是國際上應用最廣泛的現場匯流排之一。CAN匯流排協議目前已經成為汽車計算機控制系統和嵌入式工業控制區域網的標準匯流排,同時也是車載ECU之間通訊的主要匯流排。當前市場上的汽車至少擁有一個CAN網路,作為嵌入式系統之間互聯的主幹網進行車內資訊的互動和共享。CAN匯流排的短幀資料結構、非破壞性匯流排仲裁技術、靈活的通訊方式等特點能夠滿足汽車實時性和可靠性的要求,但同時也帶來了系列安全隱患,如廣播訊息易被監聽,基於優先順序的仲裁機制易遭受攻擊,無源地址域和無認證域無法區分訊息來源等問題。特別是在汽車網聯化大力發展的背景下,車內網路攻擊更是成為汽車資訊保安問題發生的源頭,CAN匯流排網路安全分析逐漸成為行業安全專家聚焦點。如2013年9月DEFCON黑客大會上,黑客演示了從OBD-II控制福特翼虎、豐田普銳斯兩款車型實現方向盤轉向、剎車制動、油門加速、儀表盤顯示等動作。汽車車內CAN網路安全問題當前主要通過安全漏洞的分析和各種攻擊手段進行挖掘,因為汽車車內網路安全的脆弱性和威脅模型的分析尤為關鍵。
這麼說來,只要抓住了CAN匯流排,我們就相當於是抓住了汽車的神經,也就能對汽車進行控制,那麼攻擊CAN匯流排會引發什麼後果呢?
第一個後果是失控:CAN匯流排主要應用之一是支援主動安全系統的通訊,道路車輛行駛的時候,主動安全系統將是一把雙刃劍,在它們發揮著不可替代的功能時候,但是考慮到主動安全系統的可操作和有能力調整正確的輸入,也會引起駕駛者對主動安全系統的完全依賴。因此一個突然的故障會引起不可預知的危險後果。為了引發一個危險的條件,惡意的攻擊者將會在CAN匯流排中注入錯誤幀,讓主動安全系統失靈。例如,在牽引力控制系統裡安裝一個攻擊,會造成車輛失去控制等危險。如果攻擊者的目標是自適應巡航系統,將會導致汽車不會安駕駛者預期的那樣停止。此外,為了最大可能的傷害汽車駕駛者,假如資料可以直接從CAN匯流排上獲取,攻擊者可以根據特定的條件,觸發一個DoS攻擊。例如汽車某一特定速度,特定的節氣門百分比或者是某一確切的GPS位置等。
第二個後果就是勒索:一個惡意的攻擊者將在CAN匯流排中某一目標幀中設定攻擊,這將會導致駕駛者無法控制節氣門的位置從而不能讓汽車移動。儘管這些不會必定發生危險狀態,一個以金錢為目的的攻擊者,將會利用車載娛樂系統的漏洞,停止汽車,並在娛樂系統螢幕上顯示訊息,車主為了重新獲取汽車的操控權而去付贖金。
第三個可能是盜竊:大部分現代昂貴的汽車門鎖通過CAN連線到ECU來控制,通常通過OBD-II埠可連線。隔離負責控制鎖/解鎖車門的資料幀比逆向主動安全裝置更簡單、更快捷。因此,幾分鐘左右一個攻擊者將會隔離負責鎖車門的資料幀,編寫他的裝置程式-特定幀的DoS攻擊,然後把裝置插入到OBD-II的介面,阻止車門鎖住。對於一個攻擊者來說,這個攻擊結果是可能的。通過低成本的花費就能進入到車內,隨後就能夠竊取車內任何貴重物品。
長期以來,幾乎整個汽車界都有這樣的共識:CAN匯流排是沒法保護的。兩方面的原因,其一,ECU的計算處理能力不足;其二,車載網路的頻寬有限。有些LIN匯流排使用的MCU甚至是16bit或8bit,但AES使用的加密演算法只能處理16位元組區塊的資料,這意味著很多時候LIN匯流排根本就是處在“裸奔”的狀態。所以汽車安全未來肯定是炙手可熱的一部分。
接下來我們說說天眼,其實天眼的目標很簡單——我知道一個人的一部分資訊,如何根據一部分資訊去拼湊出一個完整的資訊,比如他去過什麼地方,幹過什麼事情,目的是什麼,用了什麼東西,也就是廣義上的瞭解你的敵人。對於安全工作者來說,轉化到現實當中的問題就是甲方安全團隊在找到攻擊者之後如何讓攻擊者不再攻擊你?單單從防禦的角度上來說,我們可以上規則、上裝置,但是這樣並不能從根本上解決問題。繼續說回電影,其實《赤道》中香港、韓國兩方面只希望把武器送走,確保不在香港交易同時回到韓國,這樣就解決了這個問題。但是宋總不是這麼想,宋總站在了更高的角度上,他不希望把香港變成真正的地下武器販賣中心,也就是要把地下武器交易這個鏈條徹底打碎。從解決問題的角度上來看這兩者都沒錯。
回到正題,對於攻擊者來說,攻擊者一旦發起攻擊就會在目標系統中產生資料,不管有用也好無用也罷,總之資料都會產生,諸如流量資料、操作日誌、爆破記錄、工具指紋、網路地址等資訊。
Phase 1:從日誌分析的角度上來講,既然我們有這麼多的裝置,有這麼多的日誌,我們要做的就是把這些想關的攻擊向量和行為日誌收集起來,統一到一起,看看有什麼線索。
Phase 2:既然我們已經收集到了很多的日誌和資料,那麼我們可以從日誌中把這些資訊拼湊成一個完整的攻擊行為記錄:即它是通過什麼漏洞進來的,如何進來的,進來之後做了什麼,對系統有什麼影響。完完全全使之成為一個攻擊的模型,這樣的話也就完成了對入侵的推演。
Phase 3:我們既然知道了他是如何進來了的,從甲方安全運營的角度來講,我們需要確認其他機器當中是否有相同的漏洞和配置錯誤,要避免其它的人利用相同的方法入侵系統,畢竟不能在一個坑栽倒兩次。
Phase 4:我們現在有了攻擊者的一些資訊,我們是否可以通過外部威脅情報資料來看看這個攻擊者是不是之前攻擊過其他系統,攻擊是不是有針對性,工具用的是進口的、國產的還是自己寫的,是不是有其他的同夥或者幫手,他到底是懷揣著什麼目的去攻擊我們的系統。
Phase 5:如果我們確定他的身份是惡意的,並且對我們的系統造成了很嚴重的影響,我們是不是應該知道這個人是什麼來頭,他的個人資訊(虛擬身份和真實身份)我們是不是要了解,我們是不是應該去用法律手段搞他,等等。
其實攻擊溯源,其實是資料驅動的企業內部安全運營的一部分,需要大量資料的支撐以及分析才能找到攻擊者,而企業內部我們見到最多的資料無非就是日誌了,所以日誌的分析和內網威脅情報的提取是非常重要的一環。
針對安全運營來說,我個人認為所有的攻擊者不可避免的都會產生操作日誌,針對內網內的安全裝置也好,非安全裝置也好,肯定或多或少的存在日誌。
針對企業內部的日誌,大體上可分為四類:安全裝置日誌、非安全裝置日誌、感測器日誌和外部資料。
對於追蹤來說一般有這麼三種套路:
IP->域名->Whois資訊->社交網路資訊->真實資訊:這個套路對於現在來說可能用處不是特別大,但是根據歷史Whois資訊也是可以得出一些啟發性的結論的,當然這些威脅情報資料可能付費。
IP->VPN->IP->社交網路資訊:這種情況一般是大多數,解決方法是通過查詢IP反連記錄,解析操作和一些fingerprint獲得他的虛擬身份資訊,當然也是要收費的
IP->botnet->IP->社交網路資訊:這種廣泛分佈於挖礦、刷票、DDoS這種肉雞型別的,可以想辦法截獲起botnet樣本進行逆向分析,獲取其c&c伺服器地址,然後對伺服器進行反連查詢。沒錯還是要收費的。
安全裝置日誌:這些日誌來源可以是硬體也可以是軟體,首先就硬體來說注入IDS/WAF或者SIEM中的日誌、硬體防火牆等等日誌,軟體日誌包括防病毒軟體、安全Agent、准入系統等軟體系統的日誌。這些日誌一般都是攻擊者進行攻擊時會進行被動觸發,這樣的話可以檢索到很多攻擊資訊,諸如使用的IP、埠、工具指紋等等。
非安全裝置日誌:諸如路由器、交換機、閘道器、網閘等硬體裝置以及作業系統、應用軟體、伺服器軟體日誌等軟體日誌,這些日誌中可以分析出攻擊者的目的,是為了單純滲透玩一下還是想要通過控制機器作為跳板機進行進一步的滲透工作,還是說僅僅是安全部門進行掃描產生的日誌。
感測器日誌:企業內部通常會部署一些蜜罐系統、流量感測器等,這些裝置一方面可以有攻擊預警和反橫向滲透的效果,但是裡面也會存在一些攻擊者的行為,比如SSH蜜罐會存下攻擊者在這臺機器上的操作,流量感測器會對資料包進行DPI解析方便流量分析,這些資料中肯定殘存著一些有用的資訊可以幫助我們確定攻擊者的行為、技能點,甚至可以進一步判斷該攻擊者的能力,是指令碼小子還是大黑闊。
外部日誌:一些常用服務的日誌,比如說郵件、DNS等日常服務的日誌,這些日誌可以幫我們確定攻擊者是否是一種APT攻擊,或者是是否是來種植Botnet的。同樣可以確定攻擊者的動機。
說完了日誌,我們緊接著可以說一下攻擊者的動機判定,攻擊者想要入侵一個系統肯定會對這個系統進行偵查,諸如埠掃描、脆弱性檢測、exp測試等手段,這裡面很容易和安全部門的安全常規巡檢的日誌起衝突,大多數公司都會把掃描機群放到白名單裡。這樣產生了類似的日誌就會觸發報警,我們可以進一步分析這些日誌提取出一些攻擊者的行為、動機等等,以及他的目的甚至他的技能點,我們都可以初步判斷。
通過對以上日誌的分析,我們可以基本上確定攻擊者是什麼途徑進來的,用何種攻擊方式拿到機器許可權,有沒有執行什麼敏感的操作,是否有進一步滲透的趨勢,是不是在嘗試提權之類的操作等等,這樣我們就對攻擊者有一個大概的瞭解。
接下來我們就需要藉助外部威脅情報的力量來獲取攻擊者的身份,我個人比較喜歡國內的微步線上和國外的PassiveTotal這兩個平臺,尤其是後者,資料比較全而且覆蓋度很廣。當然不差錢的各位可以選擇去買威脅情報服務,更專業。
簡單說一下威脅情報可以幫我們幹什麼,威脅情報其實就是根據上面獲得殘破的攻擊者畫像變得完整,威脅情報一般可以獲得這個攻擊者有哪些常用的IP,這些IP分別都是幹什麼的,有沒有什麼社交資訊,社交資訊又有什麼關聯。舉個不恰當的例子就是相當於你知道一個人的身份證號,然後警察用這個身份證號去查這個人有多少錢,資產有多少等等。這樣你就可以獲得一個較為完整的攻擊者畫像。
到了這裡其實我們知道了攻擊者的資訊,就可以選擇怎麼解決,拉倒辦公室彈jj10分鐘是一個解決方案,扭送到警察蜀黍那裡也是解決方案,但是需要提醒大家注意執法力度和執法手段,不要知法犯法(逃。
說到以上大家會覺得我偏題了,你娃不是說要講天眼麼,怎麼扯了一大堆安全運營上的事兒,這跟天眼有什麼關係。那麼接下來的事情就和天眼有關係了:
在電影中,飛車家族只需要輸入一個名字就可以去找到這個人,確定他的位置,然後上門送溫暖喝熱茶。但是現實當中,重名的你懂得,所以我們現在從其他的地方下手:
Part 1:長相,這裡無非就是涉及到人臉識別技術,沒什麼好說的(其實是我不懂)
Part 2:身份證號碼,這個就比較重要了,身份證號碼對於廣大人民群眾來說,變的機會基本為0,很多企業不管是幹什麼的也好都喜歡玩實名制,尤其是一些小的金融公司和P2P公司,總喜歡沒事問你身份證號。鑑於我國資訊洩露這個問題還是挺嚴重的,所以我們不能保證別人沒有我們的身份證號。我們來說有了身份證號能幹什麼:先來造一張假的身份證,然後利用這張身份證(照片或者掃描件)去搞一些不需要實體身份證的東西,比如你懂得。這樣我們就能把這個人的一些賬戶劫持了,能幹啥你現在應該明白了。
Part 3:手機號碼,一般我們通訊都用手機號碼,手機號碼洩露更是屢見不鮮,和身份證號一樣,許多企業都是動不動就跟你要。手機號碼洩露更是一件蛋疼的事情,騷擾電話簡訊不說,由於現在很多手機號碼和業務是繫結的,也就是用手機號碼就可以登入相關的業務,這樣的話手機號碼的洩露很有可能就會聯絡到相對應的身份,舉個最簡單的例子:手機號碼繫結QQ號碼,然後QQ號碼可以查詢群關係,之後通過群關係能搞出很多資訊,後果你懂的
Part 4:QQ號碼,其實上面已經說了,QQ號碼相當於虛擬版本的身份證號,很多東西都和QQ有關係,比如iCloud賬號、遊戲賬號、甚至是一些信用卡賬單啊什麼的繫結的郵箱都是QQ的。QQ號碼能查的東西那就太多了,上面就是個例子。
Part 5:電子郵箱,這個在國內似乎用的比較少,但是企業內部的電子郵箱是討論的重點,企業內部電子郵箱是很多攻擊者最喜歡的地方,因為可以以此為突破口獲取企業內部的一些資訊。當年在甲方做安全運營的時候經常收到各種同時轉發過來的釣魚郵件,就是用來騙取Exchange郵箱賬戶的,這些對企業內部安全構成了嚴重的威脅。
補充:有個網站可以查到某個郵箱/手機號註冊了什麼網站。。。。。
所以,天眼的實現基礎,其實是背後的資料在做支撐,資料,其實就是洩露的資料,民間收集的資料來源主要還是各大資料庫洩露的SQL檔案等,當然不排除有些萬惡的黑產玩無間道,此處有句xxx我一定要講。
其實《速度與激情8》裡面的黑客技術就現在看來是可以完全實現的,只是實現的成本有高有低,但是搞攻防的話,一定要站在攻擊成本的角度上去考慮,安全無絕對,所以大家也沒有必要為這些事情擔心,安全研究院和廠商之間的互動越來越多也從側面證明了現在大家對安全的重視,作為安全工作者,我們也非常願意幫助廠商做好安全這一部分。先說這麼多吧,此文僅作為科普,如需討論細節還請回復或者發私信。