? ? ? ?防火墻在過(guò)去的幾年里得到了不斷的發(fā)展坏晦，并且有效地抵御了那些試圖通過(guò)開放的服務(wù)端口從受保護(hù)的基礎(chǔ)設(shè)施之外滲透的威脅孤页。網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)在入口點(diǎn)無(wú)處不在的存在骨杂，使得在組織外部的主機(jī)掃描時(shí)幾乎不可能獲得任何有意義的結(jié)果迅脐。盡管分布式拒絕服務(wù)(DDoS)攻擊在今天仍然像十年前一樣流行娃肿，但是傳統(tǒng)的針對(duì)基礎(chǔ)設(shè)施的暴力攻擊的現(xiàn)代變體帶來(lái)了臨時(shí)的網(wǎng)絡(luò)中斷罐栈，可以快速地進(jìn)行修復(fù)∈蜓茫現(xiàn)有的防御解決方案也可以加強(qiáng)識(shí)別這些攻擊，從而能夠抵御未來(lái)類似的攻擊荠诬。更重要的是琅翻，這些攻擊對(duì)一個(gè)組織造成了有限的負(fù)面經(jīng)濟(jì)影響。

? ? ? ?現(xiàn)代安全攻擊以內(nèi)部安全漏洞開始柑贞，當(dāng)內(nèi)部用戶被引誘到創(chuàng)建出站連接并連接到惡意軟件交付網(wǎng)絡(luò)時(shí)方椎，所有類型的惡意可執(zhí)行文件，如鍵盤記錄器钧嘶、木馬棠众、rootkit和ransomware都被托管下載。安全危害現(xiàn)在來(lái)自內(nèi)部。黑客闸拿，黑帽子空盼，威脅者——不管我們?cè)趺捶Q呼他們，這些人都是聰明的新荤，有創(chuàng)造力的揽趾，能夠創(chuàng)造出巧妙的漏洞。他們的動(dòng)機(jī)是金錢或政治信仰苛骨。那些由政府資助的人擁有無(wú)窮無(wú)盡的資源篱瞎，使他們成為可怕的對(duì)手。

? ? ? ? 本書不專注于基于主機(jī)的解決方案痒芝，如病毒識(shí)別奔缠、內(nèi)存取證、惡意軟件可執(zhí)行分析和rootkit基本原理吼野。在這本書中，我們選擇關(guān)注那些與關(guān)鍵的常見操作相關(guān)的主題两波，這些主題是在成功的滲透之后進(jìn)行的瞳步，即與指揮和控制(C2)中心(或“回連”)的溝通，以及對(duì)有價(jià)值數(shù)據(jù)的滲漏腰奋。

4.1? 網(wǎng)絡(luò)戰(zhàn)和定點(diǎn)攻擊

? ? ? 現(xiàn)代攻擊是秘密的单起，目標(biāo)個(gè)人和組織都是為了獲得最大的經(jīng)濟(jì)利益×臃唬互聯(lián)網(wǎng)嘀倒，尤其是Web 2.0，促進(jìn)了一個(gè)非法的影子經(jīng)濟(jì)的快速增長(zhǎng)局冰，即使不是數(shù)十億美元的交換测蘑，也能帶來(lái)數(shù)億美元的經(jīng)濟(jì)增長(zhǎng)。對(duì)組織的現(xiàn)代攻擊造成了巨大的經(jīng)濟(jì)損失康二，遠(yuǎn)遠(yuǎn)超過(guò)了受害機(jī)構(gòu)的影響碳胳。對(duì)國(guó)家安全至關(guān)重要的機(jī)密材料在網(wǎng)絡(luò)攻擊中受到了損害。針對(duì)國(guó)家發(fā)動(dòng)的網(wǎng)絡(luò)戰(zhàn)可能帶來(lái)的破壞沫勿，可能只是用戰(zhàn)爭(zhēng)術(shù)語(yǔ)來(lái)描述和衡量挨约。

4.2? 網(wǎng)絡(luò)空間中的間諜活動(dòng)和破壞

? ? ? ?“月光迷宮”是一項(xiàng)為期兩年的網(wǎng)絡(luò)間諜活動(dòng)，它是由一個(gè)被懷疑是俄羅斯的國(guó)外組織發(fā)起的产雹，在1998年至2000年期間诫惭，針對(duì)五角大樓、美國(guó)國(guó)家航空航天局蔓挖、能源部以及美國(guó)各主要研究機(jī)構(gòu)和大學(xué)的計(jì)算機(jī)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)間諜活動(dòng)夕土。月光迷宮竊取了大量關(guān)于美國(guó)軍事設(shè)施和軍事硬件藍(lán)圖的信息。

? ? ? ?2004年瘟判，桑迪亞國(guó)家實(shí)驗(yàn)室的一名員工發(fā)現(xiàn)了“泰坦雨”(Titan Rain)隘弊，這是美國(guó)聯(lián)邦調(diào)查局(FBI)對(duì)網(wǎng)絡(luò)攻擊的代號(hào)哈踱。攻擊者對(duì)洛克希德·馬丁公司和桑迪亞國(guó)家實(shí)驗(yàn)室的高度敏感的計(jì)算機(jī)系統(tǒng)進(jìn)行了滲透，以及可能的目標(biāo)梨熙，如美國(guó)國(guó)家航空航天局和其他國(guó)防承包商开镣。據(jù)估計(jì)，它已經(jīng)活躍了三年多咽扇，據(jù)信是由中國(guó)政府贊助的邪财。Titan Rain是最具破壞性的網(wǎng)絡(luò)間諜攻擊之一，旨在竊取軍事情報(bào)和機(jī)密數(shù)據(jù)质欲。泰坦雨是基于先進(jìn)的持續(xù)威脅树埠。高級(jí)持續(xù)性威脅(APTs)是一種復(fù)雜的網(wǎng)絡(luò)攻擊，它在本質(zhì)上是極其隱蔽的嘶伟，由高技能的人員開發(fā)怎憋，他們可能是具有全面情報(bào)收集和網(wǎng)絡(luò)滲透工具的專家。通過(guò)在一段較長(zhǎng)的時(shí)間內(nèi)逐漸對(duì)數(shù)據(jù)進(jìn)行篩選九昧，可以避免檢測(cè)绊袋。APTs將在第8章進(jìn)一步討論。

? ? ? ?在Titan Rain三年后铸鹰，對(duì)一個(gè)獨(dú)立國(guó)家的第二次大規(guī)模網(wǎng)絡(luò)攻擊成為網(wǎng)絡(luò)戰(zhàn)爭(zhēng)歷史的一部分癌别。據(jù)稱，攻擊者入侵愛沙尼亞是由俄羅斯政府資助和管理的蹋笼，這使愛沙尼亞的信息基礎(chǔ)設(shè)施癱瘓展姐，包括政府部門、金融部門剖毯、媒體出版物和廣播機(jī)構(gòu)圾笨。

? ? ? ?在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中，沒有任何破壞活動(dòng)像Stuxnet攻擊納坦茲的伊朗核融合工廠那樣嚴(yán)重逊谋。Stuxnet惡意軟件于2010年被發(fā)現(xiàn)墅拭，據(jù)稱是由美國(guó)國(guó)家安全局(NSA)、中央情報(bào)局(CIA)和以色列情報(bào)機(jī)構(gòu)共同開發(fā)的涣狗，目的是破壞和阻止伊朗核燃料濃縮項(xiàng)目的進(jìn)展谍婉。Stuxnet的發(fā)展跨越了兩屆美國(guó)總統(tǒng)任期。Stuxnet的設(shè)計(jì)是為了重新編程可編程邏輯控制器(PLCs)镀钓，這是工業(yè)控制系統(tǒng)中常見的組件穗熬。事實(shí)上，Stuxnet包含了迄今為止已知的第一個(gè)PLC rootkit丁溅。Stuxnet是由zero - day漏洞和一個(gè)Windows rootkit組成的唤蔗，以及用于規(guī)避基于行為的反病毒引擎分析和執(zhí)行高級(jí)過(guò)程注入的技術(shù)。它可以通過(guò)網(wǎng)絡(luò)或通過(guò)移動(dòng)驅(qū)動(dòng)器傳播。零日漏洞攻擊是對(duì)一個(gè)只有攻擊者才知道的新漏洞的攻擊妓柜。

? ? ? ?震網(wǎng)病毒通過(guò)以一種細(xì)致的方式改變電機(jī)的速度來(lái)打破離心機(jī)箱季，以避免被發(fā)現(xiàn)：它使離心機(jī)的速度增加15分鐘，然后恢復(fù)正常的運(yùn)行棍掐，休眠27天藏雏，然后在返回控制前將離心機(jī)的速度降低50分鐘;然后在冬眠后再重復(fù)這個(gè)序列27天。在每次攻擊序列中作煌，Stuxnet惡意軟件會(huì)禁用相關(guān)的警告和安全控制掘殴，以防止系統(tǒng)在速度變化時(shí)警告操作員。Stuxnet破壞了大約1000個(gè)IR - 1型離心機(jī)粟誓，在工廠的峰值運(yùn)行過(guò)程中大約占到10%奏寨。Stuxnet表明，工業(yè)破壞會(huì)導(dǎo)致嚴(yán)重的基礎(chǔ)設(shè)施故障病瞳，從而導(dǎo)致國(guó)家緊急情況悲酷。Stuxnet提供了強(qiáng)有力的證據(jù)證明它的創(chuàng)造者能夠完全進(jìn)入相關(guān)的工業(yè)控制系統(tǒng)和離心機(jī)，從而開發(fā)并驗(yàn)證代碼舔涎。只有由國(guó)家贊助的組織才能促成這樣的行動(dòng)。

? ? ? ?2012年逗爹，多家組織發(fā)現(xiàn)了火焰亡嫌，也被稱為Skywiper挟冠，被報(bào)道為有史以來(lái)最復(fù)雜的惡意軟件;預(yù)計(jì)這將需要數(shù)年時(shí)間才能解開。與震網(wǎng)病毒類似袍睡，火焰似乎是美國(guó)和以色列之間的另一項(xiàng)共同努力知染，歷時(shí)5年，作為一種網(wǎng)絡(luò)間諜武器控淡，從伊朗境內(nèi)的多個(gè)目標(biāo)收集和輸出情報(bào)止潘。

? ? ? ? 2013年，“宿醉”事件被曝光凭戴，是一系列源自印度的襲擊，并搜遍了巴基斯坦的實(shí)體者冤，竊取了對(duì)印度國(guó)家利益至關(guān)重要的信息∩娣悖“宿醉”是APT攻擊的另一個(gè)例子，盡管它最終未能實(shí)現(xiàn)它的目標(biāo)殊鞭，但它已經(jīng)運(yùn)行了兩年多尼桶，之后才被公之于眾。

? ? ? ?這些重大的國(guó)家贊助的網(wǎng)絡(luò)攻擊事件趾盐，已經(jīng)永遠(yuǎn)改變并鞏固了網(wǎng)絡(luò)空間對(duì)于戰(zhàn)爭(zhēng)的“第五領(lǐng)域”地位的重要性小腊，這是對(duì)土地、海洋本缠、空氣和空間領(lǐng)域的新補(bǔ)充入问。網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的概念已經(jīng)從抽象的理論轉(zhuǎn)化為形式化的理論，為軍事戰(zhàn)斗劇場(chǎng)的實(shí)際部署做準(zhǔn)備芬失。信息系統(tǒng)被視為軍事資產(chǎn)棱烂，必須防御敵人的攻擊，利用它們收集外國(guó)情報(bào)颊糜，并部署在攻擊對(duì)手的攻擊中。

? ? ? ? 武器化的惡意軟件現(xiàn)在是軍事武庫(kù)中攻擊能力的一部分锚扎，因?yàn)榫W(wǎng)絡(luò)戰(zhàn)可以對(duì)與常規(guī)武器相當(dāng)?shù)哪繕?biāo)造成物理傷害馁启。網(wǎng)絡(luò)戰(zhàn)可以針對(duì)軍事和民用目標(biāo)展開芍秆。諸如智能電網(wǎng)翠勉、核電站、水處理系統(tǒng)荆虱、空中交通管理和控制系統(tǒng)朽们、石油和天然氣管道、食品和飲料供應(yīng)鏈管理系統(tǒng)菜枷、金融交易系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施都通過(guò)網(wǎng)絡(luò)連接起來(lái)叁丧，并通過(guò)網(wǎng)絡(luò)接入，使它們成為理想的目標(biāo)蚊锹。破壞這些關(guān)鍵的基礎(chǔ)設(shè)施會(huì)產(chǎn)生有害的影響稚瘾，導(dǎo)致金融系統(tǒng)的經(jīng)濟(jì)崩潰和巨大的生命損失，并在整個(gè)國(guó)家造成廣泛的恐慌和混亂摊欠。網(wǎng)絡(luò)戰(zhàn)爭(zhēng)可以從幾千英里以外的地方發(fā)射凄硼，沒有實(shí)體的存在捷沸，并且現(xiàn)役的軍事裝備，如坦克痒给，戰(zhàn)斗機(jī)和導(dǎo)彈系統(tǒng)都受到干擾和破壞苍柏。

4.3工業(yè)間諜活動(dòng)

? ? ? ?近年來(lái)，在許多有針對(duì)性的攻擊中试吁，工業(yè)間諜活動(dòng)明顯增加楼咳，其中一些例子闡明了一個(gè)事實(shí)母怜，即不可攻破的安全是不存在的缚柏，潛在的APTs構(gòu)成對(duì)任何組織的嚴(yán)重威脅。有針對(duì)性的攻擊意味著有一個(gè)特定的目標(biāo)币喧，它擁有攻擊者所期望的數(shù)據(jù)杀餐，這些攻擊者將堅(jiān)持他們的攻擊，直到他們獲得目標(biāo)怜浅。因此，這樣一個(gè)潛在的目標(biāo)必須集中于持續(xù)的攻擊檢測(cè)和消滅解決方案搀暑，以抵御APTs跨琳，并結(jié)合一種心態(tài)，即攻擊是恒定的桂敛，并且可能是成功的溅潜，而不是只專注于預(yù)防攻擊。

4.3.1極光行動(dòng)

2010年1月粗仓，谷歌公開披露设捐，其在中國(guó)的運(yùn)營(yíng)受到了APT攻擊。奧羅拉行動(dòng)是針對(duì)谷歌中國(guó)的一次有針對(duì)性的攻擊蚂斤，該組織是由一個(gè)名為Elderwood Group的組織在北京發(fā)起的槐沼。在很大程度上捌治，人們相信攻擊開始于目標(biāo)谷歌的員工收到一封電子郵件或一個(gè)即時(shí)消息纽窟，這是偽造的，好像它來(lái)自一個(gè)可信的來(lái)源构韵。在一個(gè)例子中趋艘，電子郵件包含一個(gè)鏈接瓷胧。這個(gè)鏈接把員工帶到臺(tái)灣的一個(gè)網(wǎng)站，這個(gè)網(wǎng)站承載了惡意的JavaScript搓萧。該員工的Windows Internet Explorer瀏覽器隨后自動(dòng)下載了這個(gè)JavaScript，它在瀏覽器中運(yùn)行并利用了zero - day漏洞揍移。一旦JavaScript執(zhí)行反肋，它就會(huì)下載另一個(gè)偽裝成圖像文件的惡意負(fù)載;這個(gè)有效負(fù)載隨后創(chuàng)建了一個(gè)后門，并將惡意軟件連接到它的C2服務(wù)器上罕邀。在這一點(diǎn)上养距，攻擊者完全可以訪問谷歌的內(nèi)部系統(tǒng)。

在另一個(gè)例子中肾胯，e - mail附帶了一個(gè)惡意的PDF文件附件定铜，它利用了adobereader程序中的一個(gè)漏洞怕敬。一旦打開，在PDF文件內(nèi)的嵌入式惡意軟件允許攻擊者遠(yuǎn)程控制系統(tǒng)以進(jìn)一步滲透畸陡。不管滲透方法是什么，這個(gè)惡意軟件都是在源代碼庫(kù)中進(jìn)行的曹动，并試圖訪問中國(guó)政治活動(dòng)人士的谷歌電子郵件帳戶牲览。30多家高科技公司和防務(wù)公司都是同樣的間諜活動(dòng)的目標(biāo)。在惡意軟件的復(fù)雜本質(zhì)和攻擊的精心策劃的方式中贡必，國(guó)家贊助是顯而易見的庸毫。

關(guān)于奧羅拉行動(dòng)的一個(gè)令人不安的事實(shí)是，直到谷歌在2009年12月發(fā)現(xiàn)了攻擊利花，許多(如果不是全部)受害的公司完全沒有意識(shí)到他們正在被滲透载佳，而且他們的機(jī)密知識(shí)產(chǎn)權(quán)正在被攻擊者竊取。

微軟已經(jīng)知道了這個(gè)zeroday漏洞羡洛，它允許攻擊者在2009年9月之后執(zhí)行遠(yuǎn)程代碼執(zhí)行藕漱。修復(fù)Internet Explorer瀏覽器錯(cuò)誤的補(bǔ)丁計(jì)劃在2010年2月發(fā)布肋联。Adobe在2009年12月就知道了它的漏洞，直到2010年1月谷歌披露之后橄仍，該漏洞才被修復(fù)。這些軟件程序的所有用戶都暴露在潛在的攻擊中虑粥，而供應(yīng)商正在進(jìn)行修復(fù)工作宪哩。與此同時(shí)锁孟，黑帽公司在努力最大限度地利用這些漏洞茁瘦。安全行業(yè)要解決的一個(gè)關(guān)鍵問題是储笑，在解決方案可用之前，一般公眾能做些什么來(lái)保護(hù)自己腔稀，或在脆弱的時(shí)候減輕威脅羽历。

由于攻擊者獲得源代碼存儲(chǔ)庫(kù),操作極光公布了一個(gè)可怕的新威脅:偷源代碼后,攻擊者可能會(huì)修改源代碼通過(guò)實(shí)現(xiàn)一個(gè)新的利用或后門杠桿在未來(lái)對(duì)整個(gè)用戶群的產(chǎn)品由源代碼樹。代碼修改可以通過(guò)偽裝成合法用戶或利用可能存在于底層源代碼控制系統(tǒng)中的軟件缺陷來(lái)提交到原始的源代碼樹中炕淮。被盜的源代碼肯定會(huì)被詳細(xì)的漏洞分析跳夭，以創(chuàng)造未來(lái)的漏洞。

在奧羅拉行動(dòng)中润歉，多層安全防護(hù)失敗:受害者的反垃圾郵件防御沒有抓住惡意電子郵件;他們的web過(guò)濾解決方案允許用戶連接到托管這些漏洞的網(wǎng)站;他們的防病毒引擎沒有檢測(cè)到惡意軟件的下載颈抚，這可能是由于這些漏洞的零日特性;他們的IDS和IPS系統(tǒng)在入侵過(guò)程中未能識(shí)別任何異常模式;他們的DLP系統(tǒng)沒有阻止任何數(shù)據(jù)的過(guò)濾贩汉。

4.3.2水坑式攻擊

在動(dòng)物王國(guó)里，我們目睹了食肉動(dòng)物追逐獵物的戲劇性場(chǎng)面匹舞，以極高的速度旋轉(zhuǎn)赐稽，并以極大的專注力追逐獵物，而獵物則用它強(qiáng)有力的沖刺將獵物拋之腦后姊舵。獵物掙扎求生的強(qiáng)度是無(wú)法想象的括丁，離死亡只有幾英尺遠(yuǎn)。有時(shí)獵物會(huì)逃跑锄弱，而獵人會(huì)一瘸一拐地走開祸憋，在沮喪中流口水。

在塞倫蓋蒂蚯窥，還有另一種狩獵方式拦赠，在那里，捕食者潛伏在一個(gè)水坑里句携，耐心地等待獵物靠近這個(gè)珍貴的池塘允乐，而當(dāng)它貪婪地喝著時(shí)，捕食者就會(huì)狂奔蠢笋，準(zhǔn)備突襲鳞陨。

在網(wǎng)絡(luò)空間中，攻擊個(gè)人用戶需要黑帽來(lái)穿透第一層防御援岩，也就是強(qiáng)化防火墻掏导，可以快速檢測(cè)到。水坑攻擊是一種有針對(duì)性的攻擊凹蜈，而不是針對(duì)個(gè)人忍啸，而是針對(duì)一個(gè)特定的群體，基于群體的利益和行為悄晃。2014年8月，一家軟件公司的網(wǎng)站上發(fā)布了一款針對(duì)不同行業(yè)的模擬和系統(tǒng)工程軟件的“水坑惡意軟件”活動(dòng)庶近。據(jù)悉眷蚓，該網(wǎng)站經(jīng)常由在汽車、航空和制造業(yè)等行業(yè)工作的工程師經(jīng)常光顧叉钥。攻擊者將微軟Internet Explorer 0天的漏洞植入了受損的網(wǎng)站篙贸。這一漏洞利用了通過(guò)訪問者的Internet Explorer瀏覽器執(zhí)行遠(yuǎn)程代碼注入和執(zhí)行多階段的代碼爵川。該漏洞執(zhí)行了偵察操作:對(duì)訪問者的各種信息進(jìn)行探測(cè)，記錄訪問者的按鍵寝贡，并對(duì)其進(jìn)行加密，然后將收集到的數(shù)據(jù)傳輸?shù)狡銫2服務(wù)器兔甘。