前段时间西北工业大学遭受NAS攻击事件中,美国NSA下属TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。
同时,为了进一步掩盖跳板机和代理服务器与NSA之间的关联关系,NSA使用了美国Register公司的匿名保护服务,对相关域名、证书以及注册人等可溯源信息进行匿名化处理,无法通过公开渠道进行查询。
什么是跳板攻击
那么究竟什么是跳板攻击,跳板攻击究竟是如何做到信息进行匿名化的?
跳板攻击是指攻击者利用多个“跳板主机”, 即通过控制多个主机转发攻击数据包。
攻击者事先控制多个跳板主机, 利用跳板转发攻击数据包。但是在受害主机端, 只能看到攻击数据包来自于最后一跳的主机, 而不能识别出真正的攻击者,所以跳板攻击的真正目的就是隐藏攻击者。而且跳板路径越长, 越难追踪攻击者。
黑客实施跳板攻击的原因主要有两个:一方面是跳板攻击的匿名性比较高,且跳板机越多,溯源难度就越高;另一方面是跳板机所在的位置可能比黑客计算机所在的位置更有利,方便其深入专用网络进行后续攻击。
跳板攻击的基本原理
为了更好地隐蔽自己,一些网络攻击者通常并不直接从自己的系统向目标发动攻击,而是先攻破若干中间系统,让它们成为“跳板”,再通过这些“跳板系统”完成攻击行动。简单地说,跳板攻击就是通过他人的计算机攻击目标。
图中,攻击者在某一个局域网外,通过控制其内部Solaris SParc机器,对Win2000服务器进行攻击。此时,内部Solaris Sparc机器就成为其攻击的跳板。
实施跳板攻击时,黑客首先要控制跳板机,然后借助跳板机来听、来看,而跳板机就成了提线木偶,举手投足都被人从远程看不到的地方控制着。虽然跳板机本身可能不会被攻击,但最终被攻击者会把其当作入侵来源。换句话说,跳板机会成为跳板攻击者的替罪羊。而且,黑客往往通过多个跳板对目标实施攻击,这就使得精确追踪攻击源(如地址、标识等)变得更加困难。
跳板攻击的主要形式
在攻击过程中依据其对路径主机的利用方式不同,分为以下两种利用形式:
1.简单经过的利用方式:数据包基本内容在经过跳板前后不改变,依次经过跳板机完成攻击;
2.完全控制的利用方式:数据包基本内容经过跳板前后无必然关联,攻击者通过多种控制形式操控跳板机实施攻击。
跳板攻击的分类
按照对跳板利用的形式,跳板攻击可分两类 :第一类是中继型跳板攻击,第二类是控制型跳板攻击。
一、中继型跳板
攻击流量在经过跳板后数据包基本内容不变,跳板起传递作用。
攻击模型的追踪分析:追踪容易实现,结合 IDS 设备,在下述前提下能够实现准确追踪定位。
假定 1:所有检测设备的报警能力是一致的,不存在漏报;
假定 2:网络拓扑是明确的且 IDS 设备的部署在监控网络中是无缝的;
只要在追踪发起时,通过时间关联和事件一致性,提取同一时间段与被追踪事件相同的报警事件,通过源 IP(SIP)与目的 IP(DIP) 逐段衔接就可重构攻击路径。其中,中继型跳板中密文数据传输事件的追踪能力取决于 IDS 设备解密能力。
二、控制型跳板
攻击流量在经过跳板后数据包基本内容完全改变,不存在内容上的一致性。
攻击模型的追踪分析:
追踪难度大,此类攻击事件中间跳板机往往已被攻击者控制,中间主机是跳板机还是就是攻击发动者难以判定 , 导致追踪时路径的完整性和准确性下降。追踪要解决两个问题:跳板机确定和关联关系确定。跳板机确定相对比较简单,若在检测数据中发现有到攻击实施主机的可疑通讯流量,可初步判定该攻击的实施主机可能并非攻击的启动者应继续追踪。关联关系确定就是从到攻击实施主机的网络流量中确定和本次攻击有相关性的可疑连接和事件,确定上一级控制主机的位置,这种关联关系的确定也是跳板追踪实现的难点。
跳板攻击的流程
一、确认目标
黑客利用扫描工具等手段收集目标敏感信息,找到目标脆弱部分,准备实施攻击。
二、设计跳板
黑客利用暴破、漏洞等方式,完全远程控制一台或多台电脑,这些被完全远程控制的电脑也就是我们常说的肉鸡。在这些肉鸡中,黑客会筛选出多台不易被发现的肉鸡作为跳板机,为后续攻击作准备。
三、跳板入侵
(1)破坏安全环境
黑客在跳板机上卸载或关闭安全软件、防火墙,以便植入病毒,长期维持控制权或入侵时不被拦截。
(2)上传黑客工具
黑客在跳板机中上传用来盗窃信息、破坏系统环境或完全控制电脑的恶意软件程序。
(3)横向攻击并投毒
黑客利用上传的恶意工具作进一步横向渗透,例如进行获取Windows账户名和密码、扫描网络内终端以及获取企业内文件共享情况等操作。以便向内网其他电脑投放勒索病毒、后门程序、蠕虫病毒等高危病毒,获取并控制高价值的目标电脑。
四、重复攻击
在内网的其他终端上重复<跳板入侵>的3个步骤,最后利用多个跳板,对目标机器发起攻击。
此外,若企业之前存在网络共享的情况,黑客还可以在入侵网络内任何一家企业后,以该企业为跳板,攻击其它的关联企业。一旦被攻击的其它企业未做防护,将面临各类安全风险。
如何防护跳板攻击
如今黑客攻击事件日渐增多,用户和企业受到网络攻击的风险和频率也越来越高。因此,可以采取一些预防指南,以规避类似安全事件带来的风险:
1、尽量关闭不必要的端口,如:135,139,445,3389等端口;
2、关闭不必要的文件共享,若有需要,请设置强密码访问且禁用对共享的匿名访问;
3、勿随意打开陌生邮件,谨慎下载陌生邮件附件,不从不明网站下载软件,若非必要,应禁止启用Office宏代码;
4、建议服务器密码使用高强度且无规律密码,并定期更换密码;
5、对没有互联需求的服务器/工作站内部访问设置相应控制,对于同一网络环境下的其它企业或部门,在无业务需求的情况下,进行网络隔离;
6、及时更新系统和为主机打补丁,修复相应的高危漏洞;
7、使用移动存储设备时,遵循先查杀,后使用原则;
8、对重要文件和数据(数据库等数据)进行定期非本地备份;
9、建议企业或单位统一部署终端安全软件,定期升级病毒库,全盘杀毒。
除此之外,德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。主要的产品体系在于:
一、资产清点
可自动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力。
①细粒度梳理关键资产
②业务应用自动识别
③良好的扩展能力
④与风险和入侵全面关联
二、风险发现
可主动、精准发现系统存在的安全风险,提供持续的风险监测和分析能力。
①持续安全监控和分析
②多种应用/系统风险
③强大的漏洞库匹配
④专业具体的修复建议
三、入侵检测
可实时发现入侵事件,提供快速防御和响应能力
①全方位攻击监控
②高实时入侵告警
③可视化深度分析
④多样化处理方式
四、合规基线
构建了由国内信息安全等级保护要求和CIS组成的基准要求,帮助用户快速进行企业内部风险自测,发现问题并及时修复。
①支持等保/CIS等多重标准
②自动识别需检查的基线
③一键任务化检测
④企业自定义基线检查
五、病毒查杀
结合多个病毒检测引擎,能够实时准确发现主机上的病毒进程,并提供多角度分析结果,以及相应的病毒处理能力。
①多引擎病毒检测
②实时监控告警
③主动病毒阻断
④沙箱验证修复
六、远程防护
远程防护用于对远程桌面登录进行防护,防止非法登录。支持多重防护规则,增强远程桌面安全。
①微信认证登录
②手机验证码登录
③二级密码登录
④区域所在地登录
跳板攻击作为一种常见的网络攻击方式,其危害性和隐蔽性给企业和个人带来了极大的挑战。为了有效防护跳板攻击,我们需要加强网络防护,只有这样,我们才能提高网络的安全性,保护我们的数据和系统不受攻击者的侵害。
