摘要:駭客入侵與攻擊
在此要介紹駭客方法論,何謂駭客方法論?事實上,每個駭客或是怪客,對於攻擊與入侵,都會有一定的方法,取得系統權限或進入到系統之中,真正的駭客,絕對不是從網際網路上取得駭客工具後,恣意的輸入ip位置後,進行攻擊就能成功。在準備防禦技術工事前,必須先瞭解駭客的方法論,針對駭客慣有伎倆,方能夠充分防禦。
駭客攻擊入侵主要可區分成幾個階段:
- 資訊蒐集階段(Footprint or Probe)
在虛擬的資訊國度中,凡走過必留下痕跡,對於企業於網際網路上留下的資訊而言也是如此。一個駭客,除了先有動機外,依據動機後,進而選定目標。當目標確定後,並需要在網際網路上蒐集與目標以關的各種有利資訊,為了避免打草驚蛇,往往,駭客們不會直接對目標的網路進行攻擊或入侵行為,因為駭客還搞不清楚目標網路中:是否有防火牆、是否有入侵偵測系統、有哪些主機等等?
- 服務探索階段
當上階段駭客瞭解到網際網路上存在哪些主機後,進一步便是需要瞭解該些主機開了哪些服務,因為在網際網路上所開放之服務,均會有對應的通訊埠。談到這邊,如果您認為通訊埠掃瞄很簡單,只要使用指定軟體,插上網路線,就可以了,然事實上卻不是如此。因為,客戶端往往會安裝入侵偵測系統或是防火牆,此些網路安全防護系統,將偵測到駭客的通訊埠掃瞄動作,甚至會主動的進行防禦阻擋作業,如果碰上誘捕系統(Honeypot System)則有可能造成通訊埠掃瞄結果的不正確與失真。
- 漏洞研究階段(Vulnerability Research)
對於已知開啟的服務通訊埠,某些程度上可以輕易的偵測出,該服務平台名稱與版本代號,進一步透過搜索網際網路上之漏洞資料庫,將可快速得知,該服務是否存在已知重大漏洞。倘若幸運的發現了重大漏洞,駭客將可透過該漏洞進行下階段的攻擊作業。
- 滲透與攻擊階段(Penetrating and Attacking)
本階段作業,主要是透過已經找到的已知重大漏洞,準備有關的攻擊工具,然後進行攻擊與侵入。倘若,駭客無法透過該些重大漏洞進入系統,則回到上一個階段,研究下一個重大漏洞。
- 權限升級階段(Privilege Escalating)
駭客自遠端,初步得到的權限,如果只是基本權限的話,駭客將會繼續研究,嘗試破解與提高在系統中的權限。
- 清除足跡階段
最後,駭客會在已經入侵成功的系統中,作自己想要做的事情後(例如:放置後門,供以後再次進入使用,複製資料等等),會於離開前,徹底的將系統中的稽核記錄清除乾淨後離開。
少數專職性的駭客(例如:商業間諜或安全顧問公司的顧問),會潛心專研未知的重大漏洞,事實上,目前全世界各地都有專職的駭客團隊成天專精於研究軟體、系統之漏洞,只不過,一旦找出漏洞後,有些駭客是通知有關的廠商,立即進行修補的作業,待修補作業完成後,才公諸於世,也有些駭客,即時就開發駭客工具與程式碼並藉由販賣該工具賺取利潤。近來也發現,部分新研究出來的系統漏洞,倘若提前公布,將造成網際網路上的零天攻擊(0 day attacks),有關的系統廠商,將會反應不及,而使用者們,遭受攻擊卻不自知的情況,將會層出不窮。
站在防禦的角度,如何妥善與完整的保存系統紀錄與軌跡,是每個安全工程師的責任與義務。因為這些紀錄與軌跡,一旦在安全事件發生時,將可作為追蹤與分析異常的主要依據來源。倘若,系統的軌跡僅僅有紀錄,卻沒有一個妥善防護與保存的機制,一旦駭客入侵後,便可輕易的找到稽核軌跡並加以清除,屆時除了系統遭遇侵入外,亦無法得知侵入的管道,更遑論尋求解決與因應之道。
Sniper - The Fan of Forensic Technology
|Accuracy|Speed|Discovery|
Bloger: Regis