|
在学术研究人员的这些模型之一中,模型所需的信息主要来自企业组织内的目标主机的信息(例如,开放端口,IP地址,网络布局,已安装的软件等),这些主机的信息会被馈送到自动化模型中。然后,通过将输入数据与已知的漏洞利用数据库进行比较,运行模型以提供潜在或可能的攻击路径和主机渗透移动途径。
不同的学术作者针对其路径和漏洞利用如何发生以及哪些主机或系统处于给定的风险水平,采用了自己独特的逻辑或算法提出了不同的研究和技术。这些想法之间的相同之处在于,它们依靠某种定义的方法作用于某种形式的输入,最后生成安全团队可以随后关注的潜在链接矩阵。
正如学术研究人员所暗示的那样,使用这些技术代替人类黑客开展红蓝演练存在一些明显的问题。这些模型在实验室环境中运行的非常出色。如果提供结构相似的数据并针对最新的漏洞数据运行,则这些模型实际上可以产出可行的漏洞利用路径和风险点,但仅针对数据所代表的快照情况。该快照取决于从目标收集数据的时间以及漏洞数据库的最新更新时间。如果算法运行后某个主机上的某个端口发生了更改,则模型产出的结果可能非常不准确,并且一个新的武器化的漏洞可能会完全改变模型的结果。
我无法想象在现实世界中会存在这样的应用程序,因为我们输入给算法的信息不可能完整而准确的表示整个企业组织的情况。将人类用户和管理员放入到不断影响变量的组合中,似乎不可能在实验室或类似实验室的环境之外利用数据。尽管这种技术显然无法取代人类黑客,但为攻击者提供一些分析目标的快速方法无疑是该技术的亮点。
既不利用漏洞也不移动渗透主机的技术
与建模技术实现自动化的思路相反,我们对进攻性安全世界有了更熟悉的知识——漏洞识别和利用——但仍未在已经入侵的系统或组织内部进行深入研究(图2-2)。
电子邮件第一阶段
在演员确定了目标后,他们花了大约两个星期的时间尝试访问电子邮件帐户。一到,他们又花了一周时间从受害者的邮箱里收集信息,并确定了一个机会。
负责调查这起事件的migrate公司的首席工程官arielparnes告诉BleepingComputer,他们的研究人员没有在受害者系统上发现恶意软件,这表明电子邮件登录存在漏洞。
不过,帕恩斯告诉我们,电子邮件访问是不够的。由于参与者随时可能丢失这些信息,他们创建了电子邮件转发规则,以从受监视的电子邮件收件箱中获取消息。
通过使用microsoftoffice365电子邮件服务冒充交易双方,网络犯罪分子将能够继续攻击。
Miligate说,威胁参与者使用Office 365帐户发送电子邮件,以减少怀疑和逃避检测。他们还通过GoDaddy注册商(Wild West域名)注册域名,这些域名与合法企业使用的域名相似(其中很多是在美国)。
这些细节让Midget建立了一个模式,并发现了150多个这些流氓域名,揭示了网络犯罪集团的更大活动。
经验丰富的诈骗犯在仔细地处理了一份电子邮件妥协案后,从一家美国公司手中夺走了1500万美元,这项妥协花了大约两个月才完成。
这名网络犯罪分子在获得有关一项商业交易的电子邮件对话后,以外科手术般的精准执行了他们的计划。他们把自己插进了交易所,转移了付款,并能将盗窃行为隐藏得足够长时间,以便拿到钱。
尽管研究人员调查了一个受害者的事件,但他们发现了一些线索,表明建筑、零售、金融和法律部门的数十家企业都在他们的目标名单上。
论红队的创新与自动化
在没有人类黑客的情况下,对红队流程的创新动机受到了多个方面的支持。 这些趋势主要集中在加快评估,使评估更容易获得或在某些情况下用更易于实施的服务代替红队。 以下是对学术界和工业界提出的替代道德黑客的建议的分析。 由此产生的对此类解决方案的理解很好地表明了道德黑客(注:本书作者在前几章中已经多次强调,红蓝演练中的红队人员必须由道德黑客组成)为何极为重要并且将继续存在。 关于红队创新的最大工作是学术界提出的。在某些情况下,此类学术工作将自己标记为渗透测试,而把其他的工作标记为红队。同样,出于本书的目的,所有这些攻击性的安全能力在本质上都是可以互换的。在期刊和论文等学术论坛中,大部分工作都集中在使用技术实现红队攻击的自动化,而不是对人类黑客开展红队工作的攻击性安全流程进行创新。原因可能是极少有学者是经验丰富的安全专家,特别网络攻击经验,或者更准确地说,大多数有着丰富的网络攻击经验的安全专家在学术方面没有太多的努力。所以,这意味着学术研究者和具备安全攻击经验的人之间存在很大的“gap”,他们不太可能会以执行者的角度对红队遇到的问题和挑战有实际的了解,也无法切实地改善流程和方法。围绕道德黑客谍报技术的学术创新进一步复杂化,学术工作也必须努力做到辩护。学术人员会寻找可行的测试方法来测试像红队的谍报技术、评估和环境这些会受到“人为”因素影响的东西,即使不是一件几乎不可能的事情,这样的做法也可能会令人生畏。因此,学术方面对红队的研究重点主要集中在自动化技术和攻击模型方面,这些模型可以反复进行防御性测试,而无需有经验的或昂贵的红队从业者参与,也无需红队人员进行实际的参与。 由此产生的技术大致分为三类:既不利用漏洞或不进行移动渗透主机操作的技术、利用漏洞但不进行移动渗透主机操作的技术以及打算同时进行这两种操作的技术。所有这些技术都有其自身的优点和缺点,就像实现整个自动化一样。这并不意味着这样的解决方案不可用。这也不意味着它们已足以取代人类道德黑客。
建模技术
不利用漏洞或不从一个目标渗透到另一个目标的技术听起来根本就不像是红队,但我认为,在学术上提出的自动化技术中,这些是最有可能以一种积极的方式影响红蓝演练的技术。理解此类技术试图实现的目标的关键是“建模”一词。为企业组织中潜在的目标主机之间的关系进行建模的技术必将导致在红蓝演练期间,红队可以极高效的获知哪一台主机是他们的攻击目标。图2-1显示了这样的一个示例,其中主机A为初始感染者,主机G为最差传播者。
(编辑:威海站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
