“一般来讲,黑客执行下一步的网络攻击都需要非静态数据,而进攻取证是一种捕获这种非静态数据的黑客攻击技术”,计算机取证和电子搜索公司LLC伯克利分校研究小组的首席研究员Joe Sremack表示。
在进攻取证过程中,黑客捕捉内存中的非静态数据用以获取密码、加密密钥以及活跃网络会话数据,这些都可以帮助他们不受任何限制地访问宝贵数据资源。
为了说明这一点,举一个进攻取证攻击的简单例子。进攻取证攻击过成功中黑客会捕捉Windows剪贴板,这是一个不够精明的企业网络用户经常复制和粘贴安全密码的地方。黑客通常利用Flash的漏洞来展开这种类型的攻击。
“黑客往往利用浏览器中的Flash插件结合较弱的甚至错误的配置来读取浏览器的完整信息,包括内存中的密码,”Sremack说。
安全意识是击败进攻取证的第一步技巧和战术,及时的行动是第二步。
目的和手段
黑客使用进攻取证获取凭证,如用户名和密码。这些都允许他们访问敏感数据同时能够隐瞒自己的身份,以拖延攻击时被发现的时间并避免暴露自己的行踪。
“他们还想延长时间,以便于其在被发现之前有充足的时间去访问系统和目标数据,从而增加其犯罪所得,” 安全和风险管理公司Neohapsis的首席安全顾问Scott Hazdra说。
黑客寻找这种以半永久记忆的形式存在如RAM内存或交换文件中的动态/非静态数据。
“Windows临时文件、Windows或Mac的剪贴板、从一个Telnet或FTP应用程序中未加密的登录数据,和web浏览器缓存等都是非静态数据目标,”Sremack说。
一旦黑客获得暂时存储在明文中的用户ID和密码,他们就可以进入下一个等级的访问,进一步获取资源,如内部网站、文档管理系统和SharePoint站点,Sremack解释道。
“这基本上是一个黑客必须使用键盘记录器才能够检索到的信息的途径,但没有键盘记录器,”Sremack说。
这对于黑客来说极为重要,因为反病毒和反恶意软件工具可以检测并移除键盘记录。黑客们则运行其他的各种工具,比如查看剪贴板、注册表或者电脑用明文存储这些数据的任何工具。
这些工具,为黑客实时进行这些进攻时成为一件免费的福利,并且极容易接入互联网。虽然Linux上有工具,但是通常犯这种典型错误(以明文将密码储存在剪贴板)的人使在工作站的终端使用者进行攻击取证成为可能,而这些使用者通常运行Windows和Mac操作系统。
一些黑客使用特定的工具包括脚本工具作为取证的利器。
“还有大范围用于此用途的各样其他工具,包括免费的和高价的,比如FTK成像仪、RedLine、Volatility, CAINE, 和HELIX3 ”,Hazdra说。
企业响应
“进攻取证很难计数,因为攻击目标机器中的文件可能是安全的,而且传统标准也将宣布系统是安全的,但是入侵者却能够访问机器并能捕捉内存,”Sremack说。
|