第2章網絡竊密的戰術思維2.1典型泄密事件及簡要分析2.2網絡竊密者的新視角2.3網絡攻擊竊密戰術

2.1典型泄密事件及簡要分析

從2005年開始，重要數據丟失已經成為嚴重的信息安全問題。盡管企業、機構和個人均不同程度地部署了保密措施，但泄密案例還是層出不窮。從近年來國內外公開發布的失泄密案件資料中，我們選擇了以下五個典型的案例。

2003年至2007年1月期間，零售商TJX公司客戶交易系統多次遭到入侵，攻擊者非法訪問了9400萬個客戶賬戶。調查發現，有人利用竊取的信息實施了案值800萬美元的禮品卡欺詐案和偽造信用卡欺詐案。杜邦機構一名工作了十年的資深科學家下載了價值高達4億美元的商業機密，隨后在2005年年底離開機構，轉投杜邦在亞洲的一家競爭對手。據審判記錄顯示，他利用權限訪問，下載了大約22000份文檔摘要，并且瀏覽了大約16700個全文PDF文件。這些文檔涉及杜邦的大多數主要產品線，包括一些新興技術。

2007年11月，富達國民信息服務機構(FidelityNationalInformationServices)旗下子機構CertegyCheckServices的一名高級數據庫管理員利用權限訪問，竊取了850余萬個客戶的記錄。隨后，他把這些資料以50萬美元的價格賣給了一經紀人，該經紀人轉手賣給了直接營銷商。

2007年1月，美國退伍軍人管理局在亞拉巴馬州的一家機構丟失筆記本電腦一臺，結果導致53500名退伍軍人和130余萬名員工的個人數據泄密。2008年11月，亞利桑那經濟安全部的數塊硬盤被人從存儲服務商處偷走，雖然硬盤受到了密碼保護，但數據未加密。所以，其中所存儲的兒童個人健康數據可能被泄密了。

輝瑞機構一名遠程辦公員工的配偶把未經授權的文件共享軟件安裝到了該員工的辦公筆記本電腦上，導致網絡其他用戶可以訪問含有輝瑞大約17000名新老員工的姓名、社會保障號、地址和獎金信息的文件。調查后發現，大約15700名員工的數據被對等網絡上的用戶所訪問及拷貝。另外1250名員工的信息可能被泄露。上面的案例依次反映了目前最常見的幾種泄密情況：

(1)系統遭到外部強力入侵；

(2)內部人員惡意竊取并外泄重要資料；

(3)存儲介質失竊；

(4)由于操作人員安全意識淡薄造成的內網安全漏洞。

由此可見，如今，因員工或管理部門的疏忽或故意所造成的內部泄密，已經成為繼外部攻擊滲透之后的最重大的安全挑戰。從國內泄密案件的角度而言，盡管在公開出版物、權威門戶網站和安全保密部門宣傳資料上能獲得的信息不多，但從其收錄的部分重大典型案例中可以發現，因信息化、網絡化建設水平的制約，國內核心信息系統遭受直接入侵攻擊的竊密案例較少，但因為安全意識淡薄、安全教育與安全管控不到位以及受經濟利益誘惑等所造成的內部人員泄密，已成為我國重點內部網絡面對的主要威脅。

2.2網絡竊密者的新視角

2.2.1竊密者眼中的網絡邏輯模型

相信讀者對于經典網絡教材中介紹的OSI7層模型或者TCP/IP4層模型已經非常熟悉了，從網絡通信科學研究的角度而言，它們無疑能夠有效地描述網絡的邏輯層次和實現方式。但是從目前網絡基礎設施與系統、業務、服務、數據、人員和管理等要素逐步融合、相互依賴和相互影響的趨勢來看，這些經典模型已經無法滿足黑客和安全防御者對于“對基于網絡的綜合信息系統進行系統全面的描述”這一需求，因為它們沒有包括網絡中的四個重要要素，即業務應用、數據、人員和管理。如果我們還是基于經典模型去考慮“如何構建網絡安全防御系統”或者“如何進行高效的聯合網絡攻擊”，顯然會出現嚴重的疏漏。因此，作者借用圖2.1所示的目前業界較為流行的6層網絡邏輯模型來描述。該模型并不是國內外網絡領域的廣泛共識，但卻能夠為網絡攻防雙方提供更全面的視角。圖2-16層網絡邏輯模型從模型的意義來說，6層網絡邏輯模型不是一個描述網絡通信實現層次的模型，因為傳統的“拆包解包”和“同層對等通信”過程只能描述它下方的3層。應該說，6層網絡邏輯模型是一個類似于“網格模型”的系統體系架構模型，它對現代網絡體系中能夠施加獨立的、重要影響的元素按照彼此依賴的關系分層進行描述，從下到上，越來越抽象，與“人”的關系也越來越緊密。從模型描述的功能來說，與原來的4層模型相同的是，下層能夠被動地為上層提供服務接口。但不同的是，新的模型中，上層也可以根據需求，要求下層主動進行相應調整和優化，以實現網絡效能的最大化。

從模型在網絡攻防領域的價值來說，它將“系統平臺、數據、人員和管理”真正納入網絡安全體系的一部分，無論是在分析、建立模型，還是在量化評估計算中，這四者都是必須考慮的重要因素。這個模型也是本書第19章“面向核心內網的網絡風險評估模型”的基礎。

6層模型以及每層的主要功能描述如下：

(1)網絡訪問層(NetworkAccessLayer)。網絡訪問層由數據鏈路層和物理層合并而成，再加上“資源層”的概念。它不僅描述了底層網絡通信，也涵蓋了作為獨立個體為網絡提供資源的對象，包括數據庫系統、衛星/微波通信系統、存儲網絡(SAN和NAS)等。

(2)網絡層(NetworkLayer)。網絡層由OSI網絡層和傳輸層合并而成，包含傳輸控制協議(TCP)和用戶數據報協議(UDP)兩種傳輸層協議。之下是網際協議(IP)。所有網絡層以下或以上的各層通信在跨越TCP/IP協議棧時，都必須通過IP完成。此外，網絡層還包含部分支持性協議(如ICMP)，以實施和管理路由過程。

(3)系統層(SystemLayer)。系統層主要描述為上層提供訪問和控制接口的系統平臺，包括操作系統、虛擬化平臺、信息系統平臺(例如SOA模型的中間層)、網絡管理平臺等，將下層的所有網絡、通信、計算和存儲資源進行融合，向上提供統一的、集成的視角，向下進行橫跨所有對象的管理和控制。

(4)應用層(ApplicationLayer)。應用層綜合了OSI應用層、表示層以及會話層的功能，更涵蓋了“網絡服務”這種Web2.0時代的新型應用模式。

(5)數據層(DataLayer)。數據層將數據從應用中獨立出來。在數據已成為一種戰略性重要資源的今天，有必要對其采取專門的描述、管理、訪問和控制。

(6)人員和管理層(HumanandManagementLayer)。人員和管理層包括網絡中的操作人員和對網絡進行管理的制度和規范等。目前，人員和管理實施已經成為影響網絡運行的最重要、最復雜、不確定性最強、可改變性也最強的因素。下層對象可以用協議、技術等進行高度確定的、機械的描述和控制，但這一層中的對象卻具有“時變”和“隨機”特性，在不同的時間具有不同的狀態特征，從而對整個網絡運行產生不可估量的影響。2.2.2竊密者眼中的網絡脆弱點

脆弱點(Vulnerability)，或稱“漏洞”，國外學者給出的定義是“系統或者網絡中的一種狀態，這種狀態讓黑客得以用合法用戶的身份執行命令、訪問受限制的數據、冒充他人，以及/或者發動攻擊”。俗話說：“蒼蠅不叮無縫的蛋”，只有當系統中存在脆弱點時，攻擊者才有機會展開攻擊和滲透。以下我們分別從宏觀和微觀兩個角度分析目前網絡中存在的脆弱點。

從宏觀角度概括來說，從攻擊者分析評估目標網絡安全態勢的角度來看，網絡的漏洞可能存在于三個方面，即策略、配置和技術，如今再加上人員和管理的因素，可以總結為以下幾個方面：

(1)網絡建設和集成過程缺乏總體安全考慮。不同的網絡設備和應用能提供不同的訪問方式，如果不進行全局策略規劃，則會造成網絡允許的訪問服務失控，降低對關鍵網絡信息訪問的控制能力。

(2)在安全防護設計上“防外不防內”。關鍵數據在內部網絡的存儲和傳輸過程中缺乏足夠的安全防范機制，導致被信賴的人員具有太多的不受限制的權限，為惡意或無意的違規行為提供了空間。

(3)廠商和標準相異的產品集成在網絡中，使配置的復雜性增加。各種硬件產品與應用集成在一起，前后再加入新的組件，造成網絡安全控制和配置變得異常復雜，管理人員工作量巨大，難以保證所有配置的正確性，特別是在需求不斷變化的環境下。

(4)基礎設施和應用軟件漏洞。某些基礎設施內核、操作系統程序、SOA平臺軟件或應用服務等，從問世那一天起，就存在固有的設計或實現缺陷。在控制機制、訪問流程、數據輸入和輸出等過程中都存在可導致異常的地方。

從微觀角度具體而言，網絡安全防御技術近幾年來一直在飛速發展，使很多傳統的漏洞不再奏效，如著名的“3389”等。但從近幾年的攻擊發展態勢來看，如果目標存在以下幾個問題，則仍然值得嘗試。

(1)防病毒和防火墻設備性能受限、配置不當或自身生存能力存在隱患。

不少人認為，只要系統中部署了殺毒軟件、漏洞掃描、補丁分發、病毒庫自動升級系統和防火墻燈，就能實現“內外兼修、安全無憂”。但是，“購買了、部署了安全系統”并不等同于“可靠運行、有效防御”。作為桌面防護手段，殺毒軟件只能保障服務器和PC不被病毒侵害，卻無法有效防范外部病毒進入企業局域網。普通防火墻通常只能防御“配置策略不允許的訪問行為”，而不能對傳輸的內容進行有效檢測。為了將網絡通信傳輸的病毒/攻擊擋在服務器和PC終端之外，殺毒軟件和防火墻要不停地對流入和流出的數據進行分析、判斷和處理，耗費大量系統資源，影響應用系統速度。因此，很多殺毒軟件和防火墻實際上運行于“最低防御水平”狀態。更可怕的，由于殺毒軟件和防火墻的基礎和核心平臺—操作系統，特別是微軟操作系統中廣泛存在的“控制黑洞和NSA后門”，可能導致很多殺毒軟件和防火墻在正常運行中遭到破壞。

(2)網絡中運行著大量未經安全認證的應用，或缺乏對應用層攻擊的識別/防御能力。

隨著社交網絡、Web2.0和SaaS的興起，網絡本身已經成為社會生活的一部分。在這種環境下，與傳統的病毒制造不同，當前各種木馬程序、間諜軟件、惡意軟件等受利益驅動的攻擊手段越來越多。事實上，隨著當前Web應用開發越來越復雜與迅速，攻擊者可以很容易地通過各種漏洞實施溢出攻擊、注入攻擊、XSS攻擊等，從而進一步利用各種隱蔽的技術手段盜竊企業機密、用戶隱私、信用卡賬號、游戲賬號密碼等能夠輕易轉化成利益所得的信息。如今，基于Web的應用程序、社交軟件以及P2P共享軟件等，以令人難以置信的增長速度在內網中迅速普及。在很多企業都安裝了防火墻和IDS的情況下，攻擊者明白直接正面攻擊十分困難，于是轉向通過應用層協議滲透到企業內部，借助某些質量拙劣的Web應用、郵件工具、社交軟件和P2P共享軟件中存在的漏洞展開攻擊。幾乎所有的企業防火墻都會打開Web端口和某些協同/共享軟件端口，攻擊者想方設法將惡意代碼隱藏在合法數據流中，破壞/感染用戶私自安裝的某些合法應用軟件，實現應用層攻擊滲透。盡管企業能夠防止病毒通過SMTP傳播，但很多用戶利用基于Web的郵件服務(如hotmail、Yahoo)發送或接收文件，避開SMTP郵件掃描系統。傳統的防火墻技術的信息報過濾和狀態檢測技術不能區分惡意和非惡意數據。多樣性和流量也使傳統防火墻更難對過濾器實行單純的“允許/阻止”原則。某一個防火墻可能僅僅允許端口80上的HTTP流量通過，但是這樣的限制條件也可能放過了類似合法HTTP要求的SQL注入攻擊。惡意代碼甚至能夾雜在某些存在問題的VPN應用中進行傳播。

(3)內部人員矛盾突出，管理松散失效。

網絡安全技術發展到一定程度后，起決定因素的不再是技術問題，而是人員和管理問題。網絡安全往往容易被入侵者從內部攻破，而利用社會工程學進行網絡攻擊，類似于電影或者小說中的“臥底”，在獲取足夠有用的信息后，成功攻破網絡。從黑客觀察網絡的視角來看，“漏洞”不單單是指未及時修補的系統漏洞，還包括很多人為造成的管理漏洞。不管是有意還是無意，人為產生的“漏洞”已經成為黑客攻擊的最佳途徑。過去，惡意程序通常依靠軟盤、光盤、網絡、漏洞等傳播，現在更充分利用社會工程學和心理學原理，通過各種“利誘”讓用戶染毒上身。此外，由合法授權用戶造成的內部威脅，包括移動設備失控、惡意報復、玩忽職守、人為誤差、外部欺騙、事故隱瞞等等，都已成為黑客樂于利用的有效漏洞。近年來，攻擊者最常用的手段，就是利用人們的心理特征，騙取用戶的信任，獲取機密信息、系統設置等不公開資料，為其他類型的攻擊創造有利條件。安全產品的技術越來越完善，使用這些技術的人，就成為整個環節上最為脆弱的部分，加之人具有貪婪、自私、好奇、信任等心理弱點，因此通過恰當的方法和方式，入侵者完全可以從相關人員那里獲取足夠的入侵所需的信息。

2.3網絡攻擊竊密戰術

2.3.1攻擊流程概述網絡攻擊和作戰是一樣的道理，并不是簡簡單單拿起工具就開始滲透，也必須經歷“偵察”、“情報分析”、“決策/模擬推演”、“展開行動”的過程。下面對黑客攻擊網絡的流程進行介紹。

(1)收集信息。信息的收集最好綜合而全面，包括對方機構的組織形式、設備型號、軟件采購情況、管理人員技術水平、內部人員教育程度、內部管理水平、數據分布等等。

(2)探測安全弱點。收集到信息后，可以再探測目標網絡、主機、系統等的安全漏洞，常見的探測方式包括：①數據包發送工具。對已經發布了的安全漏洞，可以利用數據包發送工具發送攻擊代碼，通常用于溢出掃描。

②分布式慢速掃描。通過使用不同地址的主機、采用分工均衡策略、使用慢速掃描軟件進行掃描，而后集成掃描結果，躲避IDS系統的統計方式偵測。

③體系結構探測。利用特殊的數據包傳送給目標主機，使其作出相應的響應。由于每種操作系統的響應時間和方式不一樣，所以可利用這種特征把獲取的結果與準備好的數據庫中的資料相對照，從中判斷出目標主機操作系統所用的版本及其他相關信息。

④利用安全工具。使用知名的安全分析工具和安全掃描程序等工具對整個網絡或子網進行掃描，尋找安全方面的漏洞。

(3)分析、決策和模擬推演。根據前面獲得的信息，提出初步攻擊策略，建立攻擊模擬環境，對模擬目標進行攻擊試驗。通過檢查被攻擊方的日志，觀察檢測工具對攻擊的反應，進一步了解在攻擊過程中留下的“痕跡”及被攻擊方的狀態、被攻擊方可能采取的反應策略等，以此來制定完整的攻擊策略。

(4)攻擊實施。在上述工作的基礎上，根據需求，等待時機，隨時準備實施真正的網絡攻擊。2.3.2竊密流程概述

在成功滲透目標網絡或計算機系統后，攻擊者開始完成進一步的竊密過程。如果是對大型網絡展開大規模同時攻擊，我們建議攻擊者依托標準化的網絡攻擊開發平臺，編寫具有“多任務、工作流、任務重規劃”能力的自動化攻擊工具，提高攻擊的整體效率。具體的任務模塊可以包括以下功能：

(1)獲取計算機中與“關鍵詞”相關的所有的圖片、視頻、音頻文件，以及Word、Excel文檔及其他文本文檔；

(2)獲取用戶保存在計算機中的網絡應用或系統應用的用戶名和密碼文檔；

(3)通過數據恢復軟件對系統所有分區進行掃描，從中找到有用的信息進行恢復；

(4)獲取Internet臨時文件、瀏覽器歷史記錄、Cookie文檔、系統中記錄的其他用戶操作痕跡記錄，如最近打開的文檔、Word等辦公軟件的最近編輯記錄、視頻播放軟件的播放記錄，以及圖像處理軟件最近的瀏覽和打開圖片文件記錄等；

(5)獲取用戶IP地址、DNS地址和主機名；

(6)獲取用戶使用的操作系統類型、主機硬件信息、安裝的軟件信息，以及系統中已經啟動的服務及端口、使用的安全措施、存在的漏洞等信息；

(7)安裝后門、特洛伊木馬程序及網絡嗅探軟件，用來進一步監聽鍵盤輸入，分析進出用戶計算機網絡接口的數據包并進行運行控制；

(8)將找到的重要數據進行加工，如打包、壓縮、加密、改名等，使之能夠順利傳出或攜帶；

(9)當完成所有的工作后，清除自己在用戶計算機中的操作痕跡。2.3.3典型戰術1—多層次協同攻擊

單一的攻擊手段對個人計算機可能奏效，但想入侵防御嚴密的大型機構網絡是很困難的。如果能聚集足夠的人力、財力和設備資源，則可以綜合運用針對OSI網絡模型中2～7層的各種手段，展開“多層次協同攻擊”，相互配合，集團推進。多層次協同攻擊具體包括：

(1)有線、無線網絡線路監聽和非法接入；

(2)鏈路層、網絡層、傳輸層欺騙；

(3)鏈路層、網絡層、傳輸層癱瘓；

(4)操作系統、虛擬化基礎設施入侵；

(5)?Web滲透和攻擊；

(6)應用軟件和服務漏洞利用；

(7)惡意軟件；

(8)僵尸網絡；

(9)社會工程學；

(10)強行解密。以上各個層次的攻擊，能產生不同的效果，主要可以分為以下幾類：

(1)資源癱瘓和破壞：以網絡自身或內部的業務系統為明確的攻擊對象，通過資源耗用、運行中斷、業務系統異常等技術手段，導致網絡設備、主機、服務器的運行受到影響；

(2)非法資源利用：通過技術手段對主機或服務器進行入侵滲透，實現對他人資源的非法使用和控制，可以根據政治、軍事或經濟目的進行大規模的協同動作；

(3)秘密竊取：以網絡、信息系統中傳輸和存儲的重要信息(如商業機密、政府內部文件、軍事情報等)為目標，通過欺騙、滲透、盜取、解密等手段，導致對方在經濟、安全、發展等方面不可估量的損失。2.3.4典型戰術2—重點突破終端

隨著網絡邊界防御技術的發展，網絡攻擊的重點正逐步發生變化，終端成為新的攻擊目標。機構終端已不再是傳統意義上的“終端”，而是網絡中大部分事物的起點和源頭：用戶登錄并訪問網絡的起點、用戶透過內網訪問Internet的起點、應用系統訪問和數據產生的起點、病毒攻擊的源頭、從內部發起的惡意攻擊的源頭和內部保密數據盜用或失竊的源頭。因此，攻擊方應該首先集中資源，攻擊并滲透重要的核心終端，我們可以稱之為“點穴戰”。

首先，終端接入網絡的方式已經不再局限于局域網接口，包括雙網卡、Modem撥號、Wi-Fi、CDMA/GPRS上網卡、紅外、藍牙等，都可以利用，以突破邊界防火墻的限制。其次，隨著移動終端的普及，產生了移動辦公方式，內網接入的終端變得動態化。一方面，員工的終端可能在多個位置動態接入內網；另一方面，各種非公終端也可能接入內網(包括員工個人移動終端和合作伙伴、客戶的移動終端等)。隨著各類用戶移動終端的動態接入，內網的安全邊界管理變得空前困難，任何訪問控制或授權方面的問題，都可以加以利用。

第三，內部的關鍵信息資產，很多存儲在本地終端，或能通過本地終端訪問和輸出，大容量USB存儲設備和DVD刻錄設備的普及，使得內部信息可以直接通過移動媒介傳播。在機構的IT環境中，往往終端數量巨大，其形式多樣化、部署分散、不被重視、安全手段缺乏的現狀已成為信息安全體系的薄弱環節。雖然終端資產的重要性級別通常低于網絡中的交換機、路由器等核心網絡設備以及各種業務主機和服務器，但終端數量眾多，而且是組織日常辦公和業務運行的載體。傳統的安全體系架構存在一些致命性的問題，如傳統桌面操作功能過于強大、每