一. 前言
图1. 论文标题与作者信息
1.1
侦察定义
1.2
核心问题
Q1. What——侦察目标信息:攻击者通过侦察寻找哪些类型的信息?
Q2. When——侦察阶段:攻击者何时进行侦察?
二. What——侦察目标
图2. 基于信息被使用攻击类型的侦察目标分类概览
2.1
非技术信息
2.2
技术信息
三.When——侦察阶段
如图3所示,该文通过考虑网络杀伤链模型,基于侦察行动相对于目标网络的发生位置,把侦察行动分为外部侦察和内部侦察两个阶段。外部侦察是从目标网络外部执行的,用于在访问内部资产之前搜集技术或非技术信息;而内部侦察是在获得目标网络的访问权限后执行的,用于从内部网络获取各种信息,执行横向移动并访问其他资源。内部侦察在搜集详细信息方面相对更有效,而外部侦察过程被防御者识别的概率更小。
图3. 基于行动发生位置的侦察阶段分类作用
3.1
外部侦察
外部侦察是指攻击者获得内部网络访问权限之前的行动。攻击者可以从面向公众的服务节点、在线人员等获取关键信息,有助于计划攻击并确定攻击目标优先级。攻击者通常首先搜集组织信息和人员的联系方式,使用互联网指纹了解不同的技术信息。然后攻击者将注意力转向设计攻击和恶意软件,并尝试突破至少一台内部主机。成功后,攻击者可以在网络内停留数月,进行内部侦察并升级攻击,直至完成目标。
3.2
内部侦察
内部侦察是当攻击者突破了目标网络内至少一台主机或建立了内部访问权限,在已安装的后门与命令控制服务器之间创建安全通信后的行动。攻击者最初可以查找用户和主机级信息,其中运行进程和配置文件会暴露内部主机使用的已安装软件及应用程序列表。然后可以使用系统命令和自定义工具来搜集用户、主机、网络和应用程序级信息。攻击者可以利用被动分析技术(如数据包嗅探)来获取网络拓扑并发现系统架构、协议映射和可利用漏洞,进一步利用漏洞突破其他主机,以更接近目标资源。
四.How——侦察技术
如图4所示,该文基于执行侦察行动时搜集数据的不同来源,把侦察技术分为基于第三方源获取、基于目标人员获取和基于系统资源获取等三类技术。基于第三方源的侦察技术主要指从第三方(如公开网站或暗网)获得的目标在线(互联网)或离线(文档)信息。基于人员的侦察技术主要指社会工程技术,通过欺骗目标人员以泄露机密细节或访问信息。基于系统的侦察技术主要指通过本地(如本地主机发现)或远程(如网络扫描和嗅探)与目标系统网络直接交互获取信息。
图4. 基于数据来源的侦察技术分类概览
4.1
基于第三方数据源的侦察
基于第三方源的侦察通常在攻击早期阶段执行,用来搜集有关组织、人员和资源的有用信息。第三方源包括网站、搜索引擎、暗网等。如图5所示,展示了常用几种基于第三方源的侦察技术的目标信息及可公开使用工具等,如搜索引擎(查找组织/人员相关背景信息)、Whois查找(域名注册者相关信息)、DNS查询(CNAME等资源记录扩展关联主机)、网络指纹(traceroute网络拓扑)、网站指纹(提取网页敏感信息)、邮件跟踪(Streak45监控目标打开和阅读电子邮件的时间和频率)等。
图5. 基于第三方数据源的侦察技术及相关工具
4.2
基于目标人员的侦察
基于目标人员的侦察,是通过关注目标组织中的人员,从人这里搜集信息,即社会工程学(Social Engineering, SE)。该文根据攻击者是否与目标人员直接接触,分为本地SE技术(如诱饵、尾随、肩窥等)需要直接亲自参与,和远程SE技术(如网络钓鱼、网络钓鱼、域欺骗、恶意软件等)可以通过网络远程执行。如图6所示,展示了常用社会工程技术的方法、目标信息、阶段和类型。
图6. 基于目标人员的侦察技术及相关工具
4.2.1
远程SE欺骗目标人员
4.2.2
本地SE窃取敏感信息
4.3
基于计算机系统的侦察
4.3.1
远程扫描嗅探目标系统
A. 主动发包直接交互的扫描技术
图7. 常用扫描技术及相关工具
B. 旁路捕获间接交互的嗅探技术
图8. 常用嗅探技术及相关工具
4.3.2
本地提权移动访问目标
图9. 常用本地系统侦察技术及相关工具
五.总结
网络安全侦察范围广、信息杂、技术多、工具新,本文介绍的这篇研究工作[3],总结归纳了攻击者在整个攻击过程中执行侦察行动的目标(what)、阶段(when)、技术(how)的分类情况,提供了侦察的全面视图,可以帮助理解和建模网络攻击,有助于防御策略改进。基于目标信息被使用的攻击类型,把侦察目标信息分成非技术信息(组织/人员)和技术信息(网络级/主机级/应用级/用户级);基于侦察行动相对于目标网络的发生位置,把侦察行动阶段分为外部侦察和内部侦察;基于侦察数据来源类型,把侦察技术分为基于第三方源获取、基于目标人员获取(远程SE/本地SE)和基于系统资源获取(远程/本地)。
参考文献
1. Defense
Use Case. 2016. Analysis of the cyber attack on the Ukrainian power grid.
Electricity Information Sharing and Analysis Center (E-ISAC’16). SANS
Industrial Control System.
2. Julie Andersen Hill. 2018. SWIFT bank heists and
article 4A. J. Consum. Commerc. Law 22, 1 (2018).
3. Roy S, Sharmin N, Acosta J C, et al. Survey and taxonomy of adversarial reconnaissance techniques[J]. ACM Computing Surveys, 2022, 55(6): 1-38.
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我