漂亮的
一仗

以各种形式的网络为战场,一场无形的战争正在打响,而站在战争前线的就是世界各地的安全研究人员。这是一个不为人知的故事,讲述的是我们的精英安全研究团队如何成功瓦解近几年来最大的威胁之一。

作者:Eric Adams
摄影:Kenny Braun

我们要从 2015 年一个普通的星期六下午,网络安全专家 Matt Olney(见上图)的一个惊心动魄的经历说起。那天下午,Olney 在马里兰州的家中舒服地坐在沙发里,用放在腿上的笔记本电脑做着他最喜欢的事情:打击网络犯罪。这是一场永远不会结束的善恶较量。

Olney 是思科 Talos 团队的 250 名成员之一,我们的这个安全研究精英团队每天都在与网络犯罪者奋勇抗争,帮助全世界的网络抵御由恶意网络攻击带来的不断增加的威胁。

在那个星期六,Olney 搭建了一个“蜜罐”,这是一个看起来无害的服务器,其密码薄弱到令人震惊,而且安全补丁也已过期,目的就是吸引潜在的攻击者。为了进一步加强伪装,Olney 通过设置使该服务器看起来像是位于新加坡。

你可能不会相信,Olney 和他的许多 Talos 同事实际上很喜欢在周末工作。Olney 说:“这不是出于义务上的要求。而是因为我们认识到,网络罪犯一刻也不会停止,我们怎么能休息呢?”

Talos 每天大约分析 150 万个恶意软件实例,每年可帮助阻止 7.2 万亿次攻击。为此,Talos 构建了世界上最大的威胁检测网络,通过尖端的检测和预防技术,发现、评估和应对黑客活动、入侵企图、恶意软件及漏洞的最新发展趋势。

在 Talos 内部,有几个紧密协作的团队,他们投身于不同战线的斗争中。外联团队不断扫描新出现的威胁。其他团队通过反向工程对新出现的恶意软件和漏洞进行破解,从而为我们的客户提供保护。还有其他团队负责传播消息,发布公共安全报告,以及直接与客户、IT 供应商、运营商,甚至竞争对手进行沟通。

有时,团队成员会像 Olney 这样,进行一场精彩的老式陷阱游戏,并以找到网络攻击者为乐。再说 Olney,他激活了“蜜罐”,然后喝了一口饮料。还没等他放下饮料,他就发现有鱼上钩了。

Olney 说:“我还没有完全安装好蜜罐软件,就发现了第一次失败的登录尝试。”

换句话说,网络攻击者已经在攻击“蜜罐”的防御系统,并试图对其进行快速渗透和感染。攻击者使用的是暴力攻击,也就是快速地尝试使用一连串的已知或常见的连续密码,以期能够获得访问权限。Olney 说:“进攻速度出奇地快”。

利用手中的“鱼饵”,他快速地在不同大洲的十几个单独网络上设置了更多的“蜜罐”,以便吸引更多的攻击并锁定其中的危险分子。攻击者不可能发现其中的相互关联。Olney 解释说:“我们经常设置各种‘蜜罐’,伪装成工业控制系统、web 服务器、弹性搜索服务器、IP 电话服务器、甚至还包括气体泵系统”。

“没有合法流量可以进入这些‘蜜罐’,所以全部的流量都是来自这些攻击者。老实说,这是我们所见过在光天化日之下最为公然的抢劫。”

Craig Williams
威胁情报外联经理

全数字化侦探

现在真正的侦探工作开始了。由于 Olney 的“蜜罐”会暗中记录下每一次失败的登录尝试,因此 Talos 的分析师能够将这些登录尝试与已知的密码“词典”进行匹配,所谓的密码“词典”是指黑客们通常在线交易的含有超过 45 万个密码的数据库。

威胁情报团队承担了分析流量模式的任务。检测研究团队对产生威胁的 DDOS 木马病毒代码进行反向工程破解。Talos 数据分析师团队发现了更多可能有助于锁定攻击者的线索。

“我们的数据专家擅长发现数据的细微差别。他们不仅具有数学家的严谨思维,而且理解集合论和集群算法,因此能有把握地确定攻击的发起者、类型和发起位置。”高级主管 Matt Watchinski 说道。Watchinski 是领导马里兰州哥伦比亚市 Talos 团队的安全研究资深专家。

在全体通力合作下,Talos 最终精确地锁定了攻击来源:位于香港的两个网络。在迅速地想出了几个有趣的绰号后,Talos 的成员最终称这些攻击者为 SSHPsychos。

团队成员很快了解到,SSHPsyhcos 的运营并不简单。Talos 和其他安全专家估计,SSHPsychos 仅仅在基础设施方面的成本就肯定超过了 100,000 美元,更不用说经常性的运营费用了。“你不会相信我们今天所看到的那些设备的复杂性。”Williams 说道。

“我们的数据专家擅长发现数据的细微差别。他们有着数学的严谨性思维,理解集合论和集群算法,从而能够有把握地确定攻击的发起者、类型以及发起位置。”

Matt Watchinski
Cisco Talos 高级总监

猫和老鼠的游戏

锁定 SSHPsychos 攻击者的位置后,就可以跟踪他们了。

Talos 已做好准备。并且,他们不是孤军奋战。Talos 已经建立起跨网络安全社区的信任关系,其中一条关系在瓦解 SSHPsychos 的过程中发挥了重要的作用。

Olney 和团队暗中将他们的发现与位于科罗拉多州布鲁姆菲尔德市的威胁研究同行 - Level 3 Communications 通信公司分享,该公司是一家跨国电信运营商,协助形成了互联网的全球“骨干”基础设施。

Level 3 威胁研究实验室的 Mike Benjamin 说:“我们与思科 Talos 进行合作,减轻我们的网络以及我们客户的网络所遭到的威胁。通过相互合作,我们对危险的攻击者有了更深的理解,从而可以在一定程度上遏制他们的进攻。”

Level 3 的专业人员快速地推测出威胁的范围,并立即采取行动。但是根据客户协议,无论一个站点生成多少流量,Level 3 都不能简单地将该站点列入黑名单。于是,它提醒中国电信注意其网络上所出现的非法活动。

随着调查的迅速扩大,攻击者有所察觉。SSHPsychos 几乎马上停止了活动,陷入沉寂,有史以来第一次,Talos 无法追踪他们的足迹。

某一天,这些攻击者正在执行世界上三分之一的 SSH 活动。第二天,他们消失了。也许,这就是阻止他们的机会。

“我们在 Talos 的工作就是把人们团结起来,并且在威胁升级的时候,确保充分地向他们发出通知。我们是团结在一起的。”

Joel Esler
威胁情报经理
在思科 Talos

Esler 在 Talos 身兼数职。除了与执法部门进行合作,他还领导一个团队,该团队管理几个开源安全社区,其中包括由 Martin Roesch 创建的一个广受好评的入侵检测系统 Snort,Martin Roesch 后来创建了 Sourcefire。Sourcefire 在 2013 年加入思科,Snort 亦一同加入。Esler 的团队还负责管理 TalosIntel.com,Talos 通过该网站与公众分享信息。

Esler 说:“我们在 Talos 的工作就是把人们团结起来,并且在威胁升级的时候,确保充分地向他们发出通知。我们是团结在一起的。”

Talos 和 Level 3 都做好了再次追捕攻击者的准备。这次他们不会那么彬彬有礼了。

2015 年 4 月 7 日,Level 3 采取了前所未有的行动,使用黑洞法拦截或屏蔽了其全球网络上的所有 SSHPsychos 流量。他们也联系了其他互联网供应商,并敦促他们也这么做。