Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
Google的信息安全经理Heather Adkins就公司在一月发现的Aurora攻击事件披露了一些细节。这次攻击以Google和其它大约20家公司为目标,是一种高级的持续性威胁(以下简称APT),它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。在2010年事故响应和安全团队(FIRST)论坛大会上,Adkins说明了Google将如何建立一个事故响应团队来实施调查,仔细地分析大量的DNS数据,从而追溯和判断此次攻击的范围。
Adkins谈到攻击者实施的攻击只有少数阶段是独特的。大多数阶段,从实行社会工程学攻击到利用IE6的零日漏洞,都是很常见的。
Adkins说,“要渗入你的网络可能不需要特别复杂的操作。事实上每个阶段有多难这并不是问题,问题是所需要技能、可用的工具以及技术难度。
对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着网络罪犯利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意站点,很快该雇员的电脑就被下载了恶意软件。
Adkins说,“在整个网络中并没有大量的僵尸网络,它们在目标系统中传播地十分缓慢并且支持它们的基础设施规模十分小”。
Adkins说该恶意软件自身不是特别地复杂。网络罪犯通过安全隧道与受害人机器建立了连接并且使用该雇员的凭证来访问Google的其它服务器。攻击者可以使用各种各样的方法来窃取数据,如pass-the-hash技术(一个设计用来读取存储在本地内存中的Windows凭证的工具包)、在远程桌面保存密码或使用keylogger工具记录受害人的键盘记录。一旦他们获取超级用户权限,网络罪犯就可以在服务器上安装后门来查看和窃取文件并尝试偷偷地访问其它系统。
Adkins说Google Aurora攻击事件中使用的这种数字伪装技术很难被发现。Adkins所说的这种安全技术使安全团队意识到了渗透行为,并且开始了漫长的调查。
Adkins还说Google发现最有用的方法是系统数字取证、事件日志和恶意软件分析。当Google发现了网络渗透后,安全团队变得十分敏感,他们仔细检查,不放过每个简单的异常事件。
她说,“除非你做了一些筛选工作否则你一般不会意识到这是一种APT”。
Adkins谈到在分析完恶意软件的MD5签名后似乎没有人了解它,这表明第一个线索有问题。安全团队同样发现该软件使用了一个硬编码的DNS服务器。当攻击者实施侦察时,他们会进行DNS查询,这些数据在调查中是有用的。
她说团队搜索了主机和该DNS查询,复原出攻击的情形。焦点集中在一个特定地方的DNS查询,这代表了入侵的行为。大多数流量主要流向常见的站点。一个引人警觉的迹象是侦测到有访问一个最近才注册(以前没有人访问)的Web站点的流量。
她说,“DNS查询日志可能是你发现新的恶意软件产生的唯一方法。对手需要到其它系统上来安装恶意软件。我们经常关注大的异常事件,但是我们也需要监控这些微妙的事件”。
她说,Google的调查以一个核心的响应团队为中心,引进系统专家,分配任务。团队使用协同工具来加倍地核对他们的工作,实施数据分析。团队需要使用他们的公共关系和法律团队来通知其它受攻击的公司,这增加了调查的时间。
Adkins说,“事实上,用于APT响应的人员十分紧缺。世界上没有足够的人员来防范这类攻击”。
【编辑推荐】