APT前传

夏日林间,阳光从树叶的缝隙里洒下来,微风吹拂着树叶,影子在地上摇曳。鸟儿们在树梢上唱歌,有独唱,有对唱;啄木鸟在敲打树木,幼鸟们在喳喳喊着妈妈。

突然,一只鸟掠过树顶,低空盘旋,不时拍打翅膀,发出响声。正在孵蛋的画眉,受到惊吓,以为天敌将至,顾不上窝里的鸟蛋,立刻逃命。等画眉飞远了,这只鸟停在画眉的鸟巢上,推下窝里的一只鸟蛋,并产下一枚自己的蛋。颜色,大小与鸟窝里的相差无几。危险过后,画眉回来继续孵蛋。等到小鸟破壳而出,画眉做起了养母,本能的尽职尽责喂养这只外来户。

这是杜鹃鸟,自己不筑巢,不孵蛋,不哺育雏鸟,全部交由义父母代劳。杜鹃鸟还有很多有趣的秘密。首先,杜鹃前期会选择未来的义父母;如前文描述,杜鹃伪装成猛禽,吓唬目标。杜鹃的蛋很小,与其身形非常不匹配,也是为了欺骗义父母小鸟。杜鹃的行为,在我们人类看来不可思议,社会主义价值观缺乏的令人发指,甚至有些残忍。比如,杜鹃的幼鸟会提前出生,自己扯着嗓子让义父母喂食,而且会把原来的鸟蛋都拱下去。当然,物竞天择,这是自然进化和选择的结果,这里不做评判。

下图中,杜鹃幼鸟,接受比它小的多的义母喂食。

为什么先讲杜鹃呢?因为这个故事,来自于一本书,《The Cuckoo’s Egg》,直译书名是杜鹃的蛋。当然,这并不是讲述杜鹃性的生物读本,而是一个检测和调查,追踪和溯源黑客入侵的真实故事。书的作者,Clifford Stoll,正是这个事情的亲历者。

那还是在1986年(90后的小伙伴,彼时还是游离态的细胞,我也才换下开裆裤),互联网规模很小。如果现在的互联网比作青年,那时候则是襁褓中的婴儿,只有ARPANET,MILNET等数个小型网络,美国和欧洲之间已经联通。须知,万维网(WWW)是在1990年,也就是4年之后才被发明。 劳伦斯伯克利实验室(Lawrence Berkeley Laboratory,LBL),是ARPANET的一个节点,用户大部分是教授学者。

我们的主角,本书作者,天文学博士Cliff,在这里负责维护网络和系统。用户通过Modem拨号连接后,使用主机需要计费。

一天,经理告诉Cliff,有个用户计费有错误,差了0.75美元。Cliff检查这个问题,发现了主机入侵。这吊起了Cliff极大的好奇心,他持续跟踪,用打印机打印所有黑客入侵后的活动,敲击的命令,日志等。由此发现黑客对军事机密感兴趣,并以LBL为跳板,持续向400多台机器进行渗透,成功30多台。

黑客使用的攻击手段,简单和复杂兼而有之。UNIX有很多内置用户,猜口令是其中之一,登陆成功后,用w/who查看登陆用户,如果一旦发现有人,立即退出。还有,黑客搜索邮件文本,或者本地文件,也能找到登陆名和密码的内容。高级攻击技术,黑客用到了Emacs的漏洞,可以本地提权。(Emacs是UNIX上的文字编辑器,作者是后来大名鼎鼎自由软件斗士的Stallman)登陆成功后,黑客拿到/etc/passwd文件后破解。再次登陆时,黑客会以新的破解之后的用户名登陆系统。

需要解释一下Cliff为什么用打印机记录黑客的所有行踪。黑客很狡猾,会清除所有登陆和操作的痕迹。事后检查,比如用last命令查看登陆日志,已经看不到线索。Cliff先在所有黑客进入的通道主机上,全都连接打印机,打印所有远程登陆的会话,锁定到其中一台主机。之后就打印这一台的登陆和操作的信息。其中一个细节,Cliff为了“照顾”这些打印机,直接睡在机房里。

调查过程持续了一年,多个部门参与协作,包括CIA,FBI,德国的情报部门等。最终锁定了黑客来自于西德,查明黑客为一个4人团伙,其中一名成员,与苏联克格勃特工有瓜葛,并且,一名成员在几个月前死于非命。多行不义,其他三个人,也被德国情报部门绳之以法。

如今,美国总统川普竞选团队成员,竞选时期,私下与俄方人员接触,正在接受FBI的调查,据说前FBI局长科米即将出庭对证。过去是窃取军事情报,今天是操作大选结果。时光荏苒,猫鼠游戏还在持续上演。

Cliff不仅把整个经过写成一本书,还拍成了纪录片。影片的名字是《The KGB, the Computer, and Me》(KGB就是克格勃),有兴趣的读者可以在油管找来看看。另外,1988年,Cliff在ACM学报上发表了一篇论文,讲述这次事件的经过和启示。

遗憾的是,Cliff并没有在安全领域持续研究。事实上,他兴趣广泛,对很多事情充满好奇。在教育领域也有他的身影,面向高中生教授大学物理知识。Cliff在TED上有两段演讲,其中一个是我觉得最为有趣的演讲之一。Cliff在台上不拘小节,跳着走路,提纲写在手指上,尤其哥们那飘逸的,爱因斯坦式的头发,随风舞动,神采飞扬。

对于安全业者的启示:

1.不放过任何线索,留意系统,尤其是业务系统的异常;

2.持续跟踪;

3.设置蜜罐;有这样的细节,黑客很警觉,登录后搜索完即刻下线,不能追踪黑客来源。Cliff的朋友帮他想了办法,主机上放置了虚假文档,包含敏感军事信息。黑客如获至宝,停留的时间,足够追操纵到拨号来源;

4.利用资源;

5.隐秘行动,不打草惊蛇。消除内部的谣言,告诫同事们不要讨论此事,更不要在电子邮件中留下痕迹。

6.黑客画像,大胆假设,小心求证。黑客用hunter作为用户名,还有一个Jaeger, 是德语的hunter,还有Benson,是一个香烟的品牌。通过显示器回显的速度,Cliff判断入侵者应该在6000公里之外。Cliff对屏幕那端的对手进行画像,成年男性,德国人,吸烟的男性等。最后的结果得到验证。

以杜鹃为隐喻,黑客入侵他人的系统格,留下木马程序,恰似杜鹃的行为。

APT,高级持续性威胁(Advanced Persist Threat),这种提法,在2010年左右才出现。这个故事,告诉我们,互联网的早期,就出现过网络间谍活动,持续一年多时间。变化的是,网络的规模,攻击手段等,不变的是攻方始终虎视眈眈,觊觎敏感信息。安全守方,也需要时刻警觉,鹃正在观察。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论