個人積分:169分
文章編號:76926408
如果單純只偵測殭屍電腦,但不通報給相關機構,我是不可能知道這些IP的用途是什麼;而即使我通報了,多數機構也不會提供詳細、明確的資訊,頂多是告知“我們處理了,不過考慮到用戶的隱私,所以---”,或是根本沒回應。不過還是有一些機構提供了較為詳細的資訊,我在此與各位分享。
“發現被通報的IP有問題”的狀況應該是最常見的,我就不多說了;其他狀況大約可分為4類:資安研究者、Tor節點、VPN服務、資安服務業者。
所謂的資安研究者,通常都是該IP在WHOIS上的abuse contact間接告知我;多數情況下,我是不會直接與這些資安研究者聯繫。資安研究者的行為就是掃描網路上的網路服務,做出清單並進行統計吧?以下是對方回應後得知的資安研究者:
1、ProbeTheNet計畫(http://probethenet.com/)。它的回信開頭就說,“很高興看到你在監控你的網路,我們幾乎很少收到類似通報”(Hi, nice to see that you are monitoring your networks, amazing how few reports we really get.)。據告知,掃描時的HTTP request、WHOIS、DNS的PTR紀錄都有清楚列出相關資訊;不過我的通報是用script執行的,並沒考慮到這些狀況。它每月掃描1次IPv4的所有IP。
2、Ampere Innovation Technologies(https://ampereinnotech.com/)。
3、BinaryEdge(https://www.binaryedge.io/)。他們用來掃描的IP清單列在這個網頁:https://api.binaryedge.io/v1/minions
4、Rapid7的Sonar計畫(http://sonar.labs.rapid7.com/)。
5、法國資安公司Intrinsec(https://intrinsec.com/)。相關資訊網頁:https://abuse.intrinsec.com/ 。
6、Reposify(https://reposify.com/)。
7、Security Internet Census Research Group(https://www.internet-census.org/home.html)。
8、Yandex(https://yandex.com/)。蒐集可公開存取的非Web網路服務資訊。
9、Norwegian Defence Research Establishment(https://www.ffi.no/en)。蒐集各類網路服務的用途與提供狀況。
10、Shodan(https://www.shodan.io/)。
11、Alpha Strike Labs(https://www.alphastrike.io/en/frontpage/)。
12、澳洲雪梨大學參與的多國合作研究(美國Stanford主導)。當時的近期成果:https://blog.apnic.net/2017/12/21/mission-accomplished-https-security-diginotar/ ;Stanford人員提供的成果清單:https://zmap.io/research
13、System Security research group at the Helmholtz Center for Information Security, CISPA, Germany。
14、Symantec的web classification系統。奇怪的是,它是連到偵測主機的SSH服務(TCP port 22),並不是web的網路埠;我提出這點疑問,不過Symantec的回覆是它的主機是正常的。
15、SecurityScorecard(https://securityscorecard.com/)。
對這種資安研究,我其實不太放心,因為他們的掃描結果,是可以用來攻擊網路上的資訊系統的;而會不會有駭客潛伏在這些研究計畫內?這也很難說。不過若真有駭客隱藏其中,希望我的通報讓他知道,不是沒有人在注意這些網路掃描行為的。
美軍連茂伊島野火都不救,還指望他來臺海千里送人頭嗎?
個人積分:169分
文章編號:77010314
我對Tor的理解是如此:很多router彼此連接,構成Tor的網路,當任何連線進入Tor網路後,不會直接連到目的系統,而會在router間繞來繞去,避免被追蹤;最後才經由Tor出口節點連到目的系統。正由於某些Tor連線的目的系統是我的偵測主機,才會被我偵測到有人透過Tor在掃描網際網路。
雖然我不是駭客,不過對於駭客,我覺得Tor可算是從天上掉下來的禮物。通常駭客是用殭屍電腦來隱匿所在位置,避免被抓,不過剛入行時,手上沒有殭屍電腦,豈不是一掃描網路就暴露行蹤了?此時Tor就是駭客隱身的好幫手。
部分Tor出口節點IP的abuse contact是節點的實際管理者。他們收到我的通報後,通常就寄一個早就寫好的回應內容給我;內容不外乎是介紹什麼是Tor,Tor如何保護隱私及維護人權等,反正就是希望你認同他們的做法就是了。他們通常認為駭客透過Tor做壞事的狀況很少見,所以希望我不要去煩他們,反正他們也不會理我就是了。
不過他們並不是唯一有理念的人;我也有理念,這也是我宣揚理念的好機會。所以我會看狀況,適時發出以下郵件給這些Tor出口節點的管理者:
1、對他們推動線上隱私與自由的努力表示欽佩,但請他們也正視Tor網路對於資訊安全的影響。
2、說明資安攻擊的後果可能很嚴重,例如去年多個美國都市遭受勒索軟體攻擊,個別都市須支付數十萬美元的贖金;又如2017年Merck藥廠因勒索軟體攻擊導致疫苗生產必須中斷,這會損及公眾健康,或甚至出人命的。
3、如果我們忽略來自Tor出口節點的網絡攻擊,那麼駭客將逐漸選擇在自Tor網路發動攻擊。他們會租用VPS,表面上是Tor出口節點,讓它列在Tor的IP清單上,再從那裡攻擊目標。駭客會很安全,而數十億網路使用者則處於危險之中。
4、我希望Tor計畫設法阻止這些問題的發生。
Tor出口節點的IP可在此網頁(https://metrics.torproject.org/exonerator.html)進行確認。
Tor出口節點的運作者有哪些?以下我列出一些組織:
1、Foundation for Applied Privacy(https://applied-privacy.net/abuse/)
2、Nos oignons(https://nos-oignons.net/%C3%80_propos/index.en.html)
3、Brass Horn Communications(http://brasshorncommunications.uk/projects/tor/)
4、Xmission(http://anon.xmission.com/)
5、Emerald Onion(https://emeraldonion.org/faq/)
6、Digitale Gesellschaft(https://www.digitale-gesellschaft.ch/tor-server/abuse/)
今天就談到此。
美軍連茂伊島野火都不救,還指望他來臺海千里送人頭嗎?
個人積分:1826分
文章編號:77050293
個人積分:169分
文章編號:77430740
以前的資安防護概念,是利用防火牆將機構(如公司行號或學校)自身網路與外界的網際網路區隔開來;藉由設定防火牆規則,過濾疑似惡意連線,來確保自身網路的資訊安全。不過這種想法在今日看來有很大的問題,因為即使過濾規則再完善,只要有裝置能自由在內外網路中移動,就無法阻擋惡意軟體的攻擊。有哪些情境讓裝置能在內外網路自由移動?以下僅列舉兩種:
1、筆記型電腦。筆記型電腦具備便攜的優點,在面對客戶、外出開會時可算是執行工作的必需品,所以很多公司都幫員工配置了筆記型電腦。當員工外出時,筆記型電腦會接上外部的網際網路;回到機構內部,又接上內部網路。若筆記型電腦連接外部網路時被植入惡意軟體,就會成為惡意軟體入侵內網的缺口。
2、VPN。近期由於防治新冠肺炎的緣故,有些機構開始讓員工在家工作;這時就必須透過VPN的方式,讓員工的電腦連往到內部網路,才能存取公司的資訊系統。如果該電腦已有惡意軟體,那內網也會有危險。
以上都是現實環境裏的常態,所以當今企業網路面臨的許多資安威脅,只靠防火牆是防不了的。於是就有人說了,現在的問題已經不是駭客能不能入侵你的網路,而是駭客入侵後,你什麼時候才會發現他在你的網路亂搞?
如何利用HAProxy儘早發現入侵的駭客?以下舉例說明;不過我說過,我不是駭客,也沒入侵過網路,所以下面是我推想的,惡意軟體的移動方式,不見得百分之百正確,大家參考就好。
當惡意軟體經由筆記型電腦或VPN接觸到內部網路後,必須在不同電腦間移動,才能找到有價值的資料;面對一個陌生的網路環境,惡意軟體還是必須經由port scanning,來了解有哪些網路服務,才知道該如何入侵不同的資訊系統。而這個port scanning的動作,就可以用HAProxy來偵測。
很多機構現在都有虛擬化的環境,如vmware、Hyper-V、KVM、LXC、Xen、VirtualBox等;你可以開一個VM,專門安裝HAProxy來進行偵測。或者利用既有的AP server、SMTP server、甚至database server,只要它能同時執行HAProxy(HAProxy並不需要太多記憶體與CPU處理時間),也能用來偵測。
我了解有的機構是利用網路交換器的port mirroring,將封包灌給網路入侵偵測系統(NIDS,Network Intrusion Detection System)來監控網路。如果駭客在進行port scanning時,也同時發出大量假造來源IP及MAC位址的port scanning封包,沒錯,NIDS或許能監測到真正的port scanning,但它也會對其他假造封包發出警訊。面對大量的false alarm,網管人員無法一一處理,必然只能忽略這整批警訊,從而忽略掉真正的port scanning。HAProxy則沒有這個問題;假造封包過不了TCP的3 way handshake,所以不會有false alarm的狀況。
以上應用情境,請參考。
美軍連茂伊島野火都不救,還指望他來臺海千里送人頭嗎?
個人積分:169分
文章編號:77443264
中油資料庫和部分電腦主機遭勒索軟體感染,斷網防受駭範圍擴大,暫通報為三級資安事件
https://www.ithome.com.tw/news/137384
由報導內容來看,惡意軟體已入侵中油內部網路。遇上勒索軟體,最重要的就是要有定期的系統與資料備份,才能在不支付贖金的狀況下恢復運作(損失最近部分未備份的資料是無法避免的)。但是從備份資料還原也不見得保險。駭客是何時入侵內網的?會不會已經污染到備份資料中?會不會已經設定在資料庫的schedule中啟動惡意程式?這都是必須考慮的問題。
另外到底有哪些主機已經不安全(被入侵)了?駭客會啟動勒索軟體的主機,應該是被認為有價值的重要主機;但這些主機平日一定有嚴密防護,不可能直接被外網的駭客入侵,應該有某些不重要的主機被當跳板了。這些跳板主機可能尚未暴露身份;如果不找出這些跳板主機,系統會不會在恢復運作後再次出事(又被駭客亂搞)?
還要留意,網路中只有一組駭客嗎?畢竟發生事件就表示,防護上存在弱點(有幾個?);會不會有好幾組駭客都進來了?
中油出事印證了,現在大家面臨的資安問題已經不是駭客能不能入侵你的網路,而是駭客入侵後,你什麼時候才會發現他在你的網路亂搞?
要避免類似事件再度發生,整個防護觀念可能要進行根本上的調整。讓我想想,明天再寫。
美軍連茂伊島野火都不救,還指望他來臺海千里送人頭嗎?
個人積分:169分
文章編號:77469289
重大資安危機/調查局立案追查勒索病毒 中油:已部份修復
https://tw.news.yahoo.com/%E9%87%8D%E5%A4%A7%E8%B3%87%E5%AE%89%E5%8D%B1%E6%A9%9F-%E8%AA%BF%E6%9F%A5%E5%B1%80%E7%AB%8B%E6%A1%88%E8%BF%BD%E6%9F%A5%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92-%E4%B8%AD%E6%B2%B9%E5%AE%A3%E7%A8%B1%E5%B7%B2%E9%83%A8%E4%BB%BD%E4%BF%AE%E5%BE%A9-025920797.html
雖然目前情勢似乎好轉,不過我昨天也提了,要留意是否仍有惡意軟體在其他內網主機潛伏?這就牽涉到對惡意軟體的偵測機制。要如何選擇一個好的偵測機制?
以前我總是希望偵測機制涵蓋的行為樣態越多越好,深怕遺漏某些攻擊,駭客就入侵了;不過經過多年的觀察,其實偵測機制還有另一個更重要的比較基準,就是正確率。不正確的偵測結果,必須人工逐個來排除;如果你的偵測機制會發出很多false alarm,那它就是在浪費你的時間,絕不是一個好的偵測機制。想想看,你現在的資安防護機制,是否需要你花時間排除false alarm?
如果我面臨中油的狀況,由於懷疑仍有惡意軟體在內網潛伏,我會另找一台硬體主機(因為我不知道是否還能相信內網原有的虛擬化環境),設定它取得多個內網的閒置IP,再設置HAProxy進行異常網路連線偵測;HAProxy偵測的優越性就在於它能濾除假造的IP,所以不會有false alarm。若有異常連線,就檢視來源主機上的對應連線、程序、與使用者帳號是否異常;經由持續偵測,逐步清除駭客在內網的伏兵。
接下來就該想想,未來如何避免再次發生類似事件?這就要從改變防護理念著手了。目前針對資安攻擊,多數機構的防護理念,有點類似倚天屠龍記中提到的:“他強由他強,清風拂山崗;他橫任他橫,明月照大江”,只會設定資安規則阻擋外部攻擊,卻從未想過要反擊;簡單兩句話,就是“我不還手,讓你打到爽”的佛系防禦。這種理念只有在我方具有絕對優勢,且對方攻擊無法造成我方損害時才能使用,比方說張無忌對上滅絕師太,在內功有絕對優勢;問題是當今世界上那個機構敢說對上駭客有絕對優勢的?這時還讓人打到爽,那就是活得不耐煩了。
所以各機構應該在原有的資安防護外,進行適當的反擊。其實反擊很簡單,就算你不用HAProxy偵測也行,只是偵測的數量可能差很多。你只需要整理一些系統服務的紀錄,例如:
1、你明明沒有使用PHP或mySQL,但HTTP的存取紀錄卻出現PHP或mySQL管理介面的網址,表示有人在刺探掃描你的伺服器;
2、SMTP伺服器的紀錄(電子郵件傳送紀錄)出現外界IP未經許可,想經此轉發(relay)電子郵件的事件。
這些紀錄皆屬異常網路行為,且為TCP的傳輸協定,來源IP不會是假造的,我們只要依照WHOIS的IP查詢結果,回報給該網路的abuse contact即可;反擊就是這麼簡單。這麼做的效果是:
1、如果來源IP是殭屍電腦,電腦的實際主人會清除惡意軟體,並提升資安防護意識,未來不易再次遭植入惡意軟體;
2、如果來源IP是駭客自己用的(那他也太傻了),他可能會嚇到(被發現做壞事了),也可能被停止網路使用權。
假設駭客有10000台殭屍電腦,要打2個星期才能入侵特定機構;那如果我們反擊後,他剩下2500台殭屍電腦,那就要2個月才能成功入侵。這樣不就提升了資安防護的成效?
總結一下我提到的想法:
1、發出很多false alarm的偵測機制或系統,只是在浪費資安人員的時間,沒有實際的效用。
2、記得多利用TCP的3 way handshake來濾除假造的來源IP。
3、針對發動異常網路行為,且通過TCP的3 way handshake的來源IP進行事件通報,做為反擊;此舉既能減少殭屍電腦,亦能提升群眾的資安防護意識,有助於改善全球的整體資訊環境。
美軍連茂伊島野火都不救,還指望他來臺海千里送人頭嗎?
