2016年1月28日

5分钟阅读

CSI:网络攻击现场调查——恶意软件侦探故事

尽管黑客攻击的方法可以被破译,但罪魁祸首通常仍然是个谜

作者:拉里·格林迈尔

“归因是一种奇怪的野兽,”网络安全研究员摩根·马奎斯-布瓦尔说。

图片由PhotoDisc/ Getty Images提供

针对政府机构、基础设施提供商和其他备受瞩目目标的网络攻击 регулярно 见诸报端,引发了关于数字战争和国际制裁的讨论。随之而来的取证调查可以揭示攻击的方法和规模。然而,确定罪魁祸首却令人沮丧地更加困难,最终往往只剩下对(可能)为特定外国政府或网络团伙工作的罪魁祸首的模糊指控。

例如:最近的网络攻击切断了 80,000 名乌克兰人的电力,并渗透了该国最大机场的计算机。一些乌克兰官员迅速将矛头指向克里姆林宫,理由是他们之间持续的冲突,以及攻击显然来自俄罗斯的计算机。然而,其他人警告说,互联网地址可能被欺骗,并且即使调查人员已经恢复了一些“BlackEnergy”恶意软件(malware)(罪魁祸首),他们也无法确切地查明是谁编写的。

间接证据

支持科学新闻报道

如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。

“归因是一种奇怪的野兽,”多伦多大学公民实验室高级研究员、谷歌安全团队前成员摩根·马奎斯-布瓦尔说。“您可以使用多种技术来对攻击的性质做出有根据的断言。” 这些包括检查所用工具的复杂性、技术、被盗数据的类型以及数据的发送地点。“我称之为强有力的间接证据,这就是许多公共恶意软件报告中进行归因的方式。”

更强的归因是可能的,但需要正确类型的数据。在少数情况下,这些信息来自爱德华·斯诺登于 2013 年泄露的大量文件中,斯诺登是自我流放的前美国国家安全局 (NSA) 承包商。一组文件告知欧盟官员,美国国家安全局窃听了欧盟计算机网络一些文件还透露,英国情报机构——政府通信总部 (GCHQ)——正在监视比利时电信,比利时最大的通信提供商,部分为国有。在这两种情况下,网络调查人员后来都确定 Regin 是一种复杂的恶意软件,是被用来从目标网络中窃取秘密信息的间谍软件。然而,美国和英国情报部门都没有声称拥有 Regin 的著作权,因此即使有斯诺登的帮助,大多数研究人员也不会冒险完全自信地说美国国家安全局监视了欧盟官员,或者政府通信总部黑了比利时电信。

在大多数情况下,高度机密的泄露文件不可用,调查人员必须正面处理专门编写的恶意软件,以避免检测并掩盖作者的踪迹。网络攻击或数据盗窃调查在许多方面类似于法律与秩序犯罪现场调查:犯罪现场或任何其他虚构的警察程序片中所描绘的工作。网络安全取证调查人员通常首先分析受感染的计算机(尸体)和导致它们崩溃的恶意软件(凶器)。他们可以通过研究所使用的代码、编写方式以及它如何与编写它的人或团体进行通信,从恶意软件程序的一部分中学习到很多东西。

使用大量定制代码编写的恶意软件表明程序员技术娴熟、装备精良,并且对目标计算机和网络非常了解。另一方面,使用更通用或开源的代码可能效果较差,但它也缺乏可能追溯到特定程序员或组织的鲜明特征。马奎斯-布瓦尔说,网络攻击者也可能使用更简单的工具,以免暴露他们全部能力的底细。

数字指纹识别

马奎斯-布瓦尔和其他网络安全研究人员正在开发新的方法来构建恶意软件配置文件,这些文件充当数字指纹,以识别特定程序的格式样式、它如何分配内存、它尝试避免检测的方式以及其他属性。马奎斯-布瓦尔说,调查人员还可以通过程序员在程序中命名某些功能的方式或他们配置恶意软件以传输被盗数据的方式学到很多东西。他补充说,仅靠法证恶意软件检查不会暴露特定网络攻击的幕后黑手,但它们是任何调查的关键组成部分。

在一个案例中,马奎斯-布瓦尔和多伦多大学的同事比尔·马尔扎克分析了巴林活动家收到的电子邮件,并发现了一段旨在从他们的计算机中窃取信息的间谍软件。对该间谍软件的进一步研究表明,它与FinFisher监视软件相似,Gamma International 将该软件出售给执法机构。Gamma 已经否认向巴林政府出售该软件以监视其人民,并暗示该政权可能使用了盗版副本监视活动家以及著名的律师和反对派政治家。在典型的风格中,一个政府几乎被当场抓获,但并非完全如此。

其他研究人员正在应用机器学习来自动化编码人员与其创作的匹配。普林斯顿大学博士后研究助理艾琳·卡利斯坎-伊斯兰说,尽管恶意软件通常是一个编译后的程序——而不是原始源代码——它被修改过,因此无法被防病毒软件识别,但调查人员可以识别各种混淆技术,并开始看到不同恶意软件之间的模式。卡利斯坎-伊斯兰和她的同事去年发表了一项研究,其中他们使用算法自动化分析了 1,600 名程序员的编码风格,以94% 的准确率正确地归属了作者身份。他们发现,程序员的技术越娴熟,他们使用的代码越复杂,就越容易将他们与其程序联系起来。

将这种方法应用于实验室外恶意软件的最大挑战之一是缺乏可用于训练机器学习算法的“真实情况”归因数据。“我们过去拥有的已知程序员的样本越多,我们就越容易提取编码风格并训练我们的机器学习模型来识别它们,”卡利斯坎-伊斯兰说。她的目标之一是与一家网络安全公司合作,该公司可以为她提供来自真实世界调查的数据,并使用这些数据进一步开发她的算法。

守口如瓶

政府也可以访问大量数据,这些数据可能有助于网络取证调查。然而,他们最符合自身利益的做法是不分享他们所知道的信息,因为担心他们会泄露太多关于其网络侦查程序的信息。马奎斯-布瓦尔认为,美国政府不会透露太多关于为什么它明确指责朝鲜对 2014 年索尼影视娱乐公司的网络攻击负责的原因,这是有充分理由的。“我不希望他们公开他们的证据,”他说。“美国国家安全局拥有前所未有的、无与伦比的互联网运作访问权限。” 如果他们公开他们对某些网络攻击的了解,肇事者可能会利用这些信息来改变他们的方法。

这将增加网络攻击者相对于试图抓住他们的人的又一个优势。

© . All rights reserved.