大数跨境
首页
>
不是教你诈:美国陆军前资深军官讨论如何将网络攻击嫁祸于中国
>
0
0

不是教你诈:美国陆军前资深军官讨论如何将网络攻击嫁祸于中国

不是教你诈:美国陆军前资深军官讨论如何将网络攻击嫁祸于中国 代码卫士
2019-12-11
2
导读:时刻保持警醒
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
欧洲黑帽大会上,Rendition Infosec 公司的联合创始人兼首席咨询官、曾在美国国防部保密环境中执行攻防网络行动的 Jake Williams 发表了题为《成功开展伪旗网络行动(怪罪于中国)》的演讲。
Jake Williams 在座无虚席的大会上向热情的观众指出,如果懂行,那么在网络攻击过程中伪造数字证据即植入伪旗,也就是误导调查人员将某网络攻击怪罪到某个地方或国家的头上是较为简单的事。
他的演讲的目的并非教人们如何做坏事,而是像他在刚开始演讲时就说明的那样,是向调查人员和辩护人员说明常见的归因是可以遭操控以达到欺骗目的的。如果仅凭其它国家的黑帽黑客故意留下的错误线索,那么就不能百分之百归罪于中国黑客组织。
Williams 指出,“政策和企业领导层并不了解伪造数字证书有多么容易。”他指出伪造的关键是确保留下由目标检测到的面包屑踪迹,然后将调查人员引到正确(错误)的方向。
他还提到,“了解你的目标手里有什么。我不想创建目标看不到的伪旗旗标。想一想你的目标能看到什么?如果他们看不到伪旗旗标,那么你伪造证据也无伤大碍。

可以伪造的内容

在所有伪造的面包屑中,最容易伪造的就是攻击者流量的来源。Williams 提到了如今已不存在的威胁情报公司 Norse Corp 在2015年发布的令人可疑的“DDoS 攻击地图”,它展示了攻击来源点(“百分之百是通过 IP 做成的”)。他指出,从已为人熟知的网络黑手国家中很容易就能租到基础设施。
他说道,“事实证明,我可以很容易地就从伊朗购买到基础设施。我说的不是购买26个服务器而是16家不同的 VPS 提供商。只要用一张信用卡或一些比特币我就能从伊朗购买到用于发送流量的服务器。这样做一点问题也没有!
第二个容易伪造的就是修改某人的浏览器设置,模拟成其中一个恶意国家的懒惰的黑客。要实现这个目的也无需深刻的背景知识。
Williams 提到,“修改火狐浏览器 About:config 中的 accept-language 标头就能让即使顶尖的调查人员也受骗。我看似看到的 IP 地址是美国以外的地方,但将 accept-language 设置为中文。”他表示更改该浏览器的 user-agent 字符串也会造成类似的结果。如果试图植入伪旗所针对的目标使用了某种特定的浏览器或具体版本,那么只要复制他们的就可以了!

PowerShell 也一样

Williams 指出,卡巴斯基认为去年发生的 Olympic Destroyer 恶意软件攻击并非由朝鲜黑客编写,这和其他人的判断完全不同。Williams 观察到“头部富数据已遭故意修改成俄罗斯恶意软件,他们用一个已知的朝鲜富标头取而代之。
尽管Olympic Destroyer 的数据破坏函数是朝鲜 Lazarus 黑客组织工具的副本,但该富标头的元数据表明,整个恶意软件数据包hi使用 Visual Studio 10 编写的。
PowerShell 长久以来是恶意人员的心头爱,它也可成为布局虚假面包屑痕迹的工具。Williams 表示可以将 PowerShell 副本从一台机器迁移到另一台机器,比如从攻击者的机器移到目标服务器上。在会话中作为所有 PowerShell 命令和输出的本文日志,这些副本可成为调查人员严重的有用信息,也能成为实施欺诈的人员的有用信息。
Williams 表示,“我们已经这样做过”,他指出在某次红队演练中,“蓝队调查人员想当然地认为该 PowerShell 副本肯定是由攻击者构造的。我们使用了其中一些技术,而且我以第一手的身份告诉你们,它们真的起作用。
同样,“类型化的 URL”也可以实现同样的误导作用。通过查找 wordwheelquery Windows 注册表项,我们可以查看 Windows Explorer 类型的搜索查询。他建议,“从命令提示符中投毒表明(远程桌面协议)或控制台访问。
切记时刻保持警惕,仔细对照所拥有的所有数据点以交叉引用归因尝试。你永远无法知道谁在试图欺骗你。



推荐阅读

俄罗斯被指出于报复攻击冬奥会且嫁祸于朝鲜



原文链接
https://www.theregister.co.uk/2019/12/05/fooling_attribution_breadcrumbs/



题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。



【声明】内容源于网络
0
0
代码卫士
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
内容 5153
粉丝 0
代码卫士 奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
总阅读4.9k
粉丝0
内容5.2k