2016年1月28日

5分鐘閱讀

CSI:網路攻擊現場調查——惡意軟體偵探故事

儘管駭客攻擊的方法可以被破譯,但罪魁禍首通常仍然是個謎

作者:拉里·格林邁爾

“歸因是一種奇怪的野獸,”網路安全研究員摩根·馬奎斯-布瓦爾說。

圖片由PhotoDisc/ Getty Images提供

針對政府機構、基礎設施提供商和其他備受矚目目標的網路攻擊 регулярно 見諸報端,引發了關於數字戰爭和國際制裁的討論。隨之而來的取證調查可以揭示攻擊的方法和規模。然而,確定罪魁禍首卻令人沮喪地更加困難,最終往往只剩下對(可能)為特定外國政府或網路團伙工作的罪魁禍首的模糊指控。

例如:最近的網路攻擊切斷了 80,000 名烏克蘭人的電力,並滲透了該國最大機場的計算機。一些烏克蘭官員迅速將矛頭指向克里姆林宮,理由是他們之間持續的衝突,以及攻擊顯然來自俄羅斯的計算機。然而,其他人警告說,網際網路地址可能被欺騙,並且即使調查人員已經恢復了一些“BlackEnergy”惡意軟體(malware)(罪魁禍首),他們也無法確切地查明是誰編寫的。

間接證據

支援科學新聞報道

如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。

“歸因是一種奇怪的野獸,”多倫多大學公民實驗室高階研究員、谷歌安全團隊前成員摩根·馬奎斯-布瓦爾說。“您可以使用多種技術來對攻擊的性質做出有根據的斷言。” 這些包括檢查所用工具的複雜性、技術、被盜資料的型別以及資料的傳送地點。“我稱之為強有力的間接證據,這就是許多公共惡意軟體報告中進行歸因的方式。”

更強的歸因是可能的,但需要正確型別的資料。在少數情況下,這些資訊來自愛德華·斯諾登於 2013 年洩露的大量檔案中,斯諾登是自我流放的前美國國家安全域性 (NSA) 承包商。一組檔案告知歐盟官員,美國國家安全域性竊聽了歐盟計算機網路一些檔案還透露,英國情報機構——政府通訊總部 (GCHQ)——正在監視比利時電信,比利時最大的通訊提供商,部分為國有。在這兩種情況下,網路調查人員後來都確定 Regin 是一種複雜的惡意軟體,是被用來從目標網路中竊取秘密資訊的間諜軟體。然而,美國和英國情報部門都沒有聲稱擁有 Regin 的著作權,因此即使有斯諾登的幫助,大多數研究人員也不會冒險完全自信地說美國國家安全域性監視了歐盟官員,或者政府通訊總部黑了比利時電信。

在大多數情況下,高度機密的洩露檔案不可用,調查人員必須正面處理專門編寫的惡意軟體,以避免檢測並掩蓋作者的蹤跡。網路攻擊或資料盜竊調查在許多方面類似於法律與秩序犯罪現場調查:犯罪現場或任何其他虛構的警察程式片中所描繪的工作。網路安全取證調查人員通常首先分析受感染的計算機(屍體)和導致它們崩潰的惡意軟體(兇器)。他們可以透過研究所使用的程式碼、編寫方式以及它如何與編寫它的人或團體進行通訊,從惡意軟體程式的一部分中學習到很多東西。

使用大量定製程式碼編寫的惡意軟體表明程式設計師技術嫻熟、裝備精良,並且對目標計算機和網路非常瞭解。另一方面,使用更通用或開源的程式碼可能效果較差,但它也缺乏可能追溯到特定程式設計師或組織的鮮明特徵。馬奎斯-布瓦爾說,網路攻擊者也可能使用更簡單的工具,以免暴露他們全部能力的底細。

數字指紋識別

馬奎斯-布瓦爾和其他網路安全研究人員正在開發新的方法來構建惡意軟體配置檔案,這些檔案充當數字指紋,以識別特定程式的格式樣式、它如何分配記憶體、它嘗試避免檢測的方式以及其他屬性。馬奎斯-布瓦爾說,調查人員還可以透過程式設計師在程式中命名某些功能的方式或他們配置惡意軟體以傳輸被盜資料的方式學到很多東西。他補充說,僅靠法證惡意軟體檢查不會暴露特定網路攻擊的幕後黑手,但它們是任何調查的關鍵組成部分。

在一個案例中,馬奎斯-布瓦爾和多倫多大學的同事比爾·馬爾扎克分析了巴林活動家收到的電子郵件,並發現了一段旨在從他們的計算機中竊取資訊的間諜軟體。對該間諜軟體的進一步研究表明,它與FinFisher監視軟體相似,Gamma International 將該軟體出售給執法機構。Gamma 已經否認向巴林政府出售該軟體以監視其人民,並暗示該政權可能使用了盜版副本監視活動家以及著名的律師和反對派政治家。在典型的風格中,一個政府幾乎被當場抓獲,但並非完全如此。

其他研究人員正在應用機器學習來自動化編碼人員與其創作的匹配。普林斯頓大學博士後研究助理艾琳·卡利斯坎-伊斯蘭說,儘管惡意軟體通常是一個編譯後的程式——而不是原始原始碼——它被修改過,因此無法被防病毒軟體識別,但調查人員可以識別各種混淆技術,並開始看到不同惡意軟體之間的模式。卡利斯坎-伊斯蘭和她的同事去年發表了一項研究,其中他們使用演算法自動化分析了 1,600 名程式設計師的編碼風格,以94% 的準確率正確地歸屬了作者身份。他們發現,程式設計師的技術越嫻熟,他們使用的程式碼越複雜,就越容易將他們與其程式聯絡起來。

將這種方法應用於實驗室外惡意軟體的最大挑戰之一是缺乏可用於訓練機器學習演算法的“真實情況”歸因資料。“我們過去擁有的已知程式設計師的樣本越多,我們就越容易提取編碼風格並訓練我們的機器學習模型來識別它們,”卡利斯坎-伊斯蘭說。她的目標之一是與一家網路安全公司合作,該公司可以為她提供來自真實世界調查的資料,並使用這些資料進一步開發她的演算法。

守口如瓶

政府也可以訪問大量資料,這些資料可能有助於網路取證調查。然而,他們最符合自身利益的做法是不分享他們所知道的資訊,因為擔心他們會洩露太多關於其網路偵查程式的資訊。馬奎斯-布瓦爾認為,美國政府不會透露太多關於為什麼它明確指責朝鮮對 2014 年索尼影視娛樂公司的網路攻擊負責的原因,這是有充分理由的。“我不希望他們公開他們的證據,”他說。“美國國家安全域性擁有前所未有的、無與倫比的網際網路運作訪問許可權。” 如果他們公開他們對某些網路攻擊的瞭解,肇事者可能會利用這些資訊來改變他們的方法。

這將增加網路攻擊者相對於試圖抓住他們的人的又一個優勢。

© .