APT前传:杜鹃动了谁的蛋?

admin 2022年6月8日06:19:15评论67 views字数 2568阅读8分33秒阅读模式

APT前传:杜鹃动了谁的蛋?



夏日林间,阳光从树叶的缝隙里洒下来,微风吹拂着树叶,影子在地上摇曳。鸟儿们在树梢上唱歌,有独唱,有对唱;啄木鸟在敲打树木,幼鸟们在喳喳喊着妈妈。


突然,一只鸟掠过树顶,低空盘旋,不时拍打翅膀,发出响声。正在孵蛋的画眉,受到惊吓,以为天敌将至,顾不上窝里的鸟蛋,立刻逃命。等画眉飞远了,这只鸟停在画眉的鸟巢上,推下窝里的一只鸟蛋,并产下一枚自己的蛋。颜色,大小与鸟窝里的相差无几。危险过后,画眉回来继续孵蛋。等到小鸟破壳而出,画眉做起了养母,本能的尽职尽责喂养这只外来户。


这是杜鹃鸟,自己不筑巢,不孵蛋,不哺育雏鸟,全部交由义父母代劳。杜鹃鸟还有很多有趣的秘密。首先,杜鹃前期会选择未来的义父母;如前文描述,杜鹃伪装成猛禽,吓唬目标。杜鹃的蛋很小,与其身形非常不匹配,也是为了欺骗义父母小鸟。杜鹃的行为,在我们人类看来不可思议,社会主义价值观缺乏的令人发指,甚至有些残忍。比如,杜鹃的幼鸟会提前出生,自己扯着嗓子让义父母喂食,而且会把原来的鸟蛋都拱下去。当然,物竞天择,这是自然进化和选择的结果,这里不做评判。

APT前传:杜鹃动了谁的蛋?

下图中,杜鹃幼鸟,接受比它小得多的义母喂食。

APT前传:杜鹃动了谁的蛋?

为什么先讲杜鹃呢?

因为这个故事,来自于一本书,《The Cuckoo’s Egg》,直译书名是杜鹃的蛋。当然,这并不是讲述杜鹃本性的生物读本,而是一个检测和调查,追踪和溯源黑客入侵的真实故事。书的作者,Clifford Stoll,正是这个事情的亲历者。

APT前传:杜鹃动了谁的蛋?

那还是在1986年(90后的小伙伴,彼时还是游离态的细胞,我也才换下开裆裤),互联网规模很小。如果把现在的互联网比作青年,那时候则是襁褓中的婴儿,只有ARPANET,MILNET等数个小型网络,美国和欧洲之间已经联通。须知,万维网(WWW)是在1990年,也就是4年之后才被发明。 劳伦斯伯克利实验室(Lawrence Berkeley Laboratory,LBL),是ARPANET的一个节点,用户以大学教授为主。

我们的主角,本书作者,天文学博士Cliff,在这里负责维护网络和系统。用户通过Modem拨号连接后,使用主机需要计费。


一天,经理告诉Cliff,有个用户计费有错误,差了0.75美元。Cliff检查这个问题,发现了主机入侵。这吊起了Cliff极大的好奇心,他持续跟踪,用打印机打印所有黑客入侵后的活动,敲击的命令,日志等。由此发现黑客对军事机密感兴趣,并以LBL为跳板,持续向400多台机器进行渗透,成功30多台。


黑客使用的攻击手段,简单和复杂兼而有之。UNIX有很多内置用户,猜口令是其中之一,登录成功后,用w/who查看登录用户,如果一旦发现有人,立即退出。还有,黑客搜索邮件文本,或者本地文件,也能找到登录名和密码的内容。高级攻击技术,黑客用到了Emacs的漏洞,可以本地提权。(Emacs是UNIX上的文字编辑器,作者是后来大名鼎鼎自由软件斗士Stallman)登录成功后,黑客拿到/etc/passwd文件后破解。再次登录时,黑客会以新的破解之后的用户名登录系统。


需要解释一下Cliff为什么用打印机记录黑客的所有行踪。黑客很狡猾,会清除所有登录和操作的痕迹。事后检查,比如用last命令查看登录日志,已经看不到线索。Cliff先在黑客可能连入的所有主机上,全都连接打印机,打印所有远程登录的会话,锁定到其中一台主机。之后就打印这一台的登录和操作的信息。其中一个细节,Cliff为了“照顾”这些打印机,直接睡在机房里。


调查过程持续了一年,多个部门参与协作,包括CIA,FBI,德国的情报部门等。最终锁定了黑客来自于西德,查明黑客为一个4人团伙,其中一名成员,与苏联克格勃特工有瓜葛,并且,一名成员在几个月前死于非命。多行不义,出来混,总是要还的。其他三个人,也被判有罪,不免牢狱之苦。

APT前传:杜鹃动了谁的蛋?

如今,美国总统川普竞选团队成员,竞选时期,私下与俄方人员接触,正在接受FBI的调查,据说前FBI局长科米即将出庭对证。过去是窃取军事情报,今天是操作大选结果。时光荏苒,猫鼠游戏还在持续上演。


Cliff不仅把整个经过写成一本书,还拍成了纪录片。影片的名字是《The KGB, the Computer, and Me》(KGB就是克格勃),有兴趣的读者可以在油管找来看看。另外,1988年,Cliff在ACM学报上发表了一篇论文,讲述这次事件的经过和启示,论文的标题为《Stalking The Wily Hacker》。


APT前传:杜鹃动了谁的蛋?

遗憾的是,Cliff并没有在安全领域持续研究。事实上,他兴趣广泛,对很多事情充满好奇。在教育领域也有他的身影,面向高中生教授大学物理知识。Cliff在TED上有两段演讲,其中一个是我觉得最为有趣的演讲之一。Cliff在台上不拘小节,跳着走路,提纲写在手指上,尤其哥们那飘逸的,爱因斯坦式的头发,随风舞动,神采飞扬。


对于安全从业者的启示:

1. 不放过任何线索,留意系统,尤其是业务系统的异常;

2. 持续跟踪;

3. 设置蜜罐;有这样的细节,黑客很警觉,登录后搜索完即刻下线,不能追踪黑客来源。Cliff的朋友帮他想了办法,主机上放置了虚假文档,包含敏感军事信息。黑客如获至宝,停留的时间,足够追踪到拨号来源;

4. 利用资源;

5. 隐秘行动,不打草惊蛇。消除内部的谣言,告诫同事们不要讨论此事,更不要在电子邮件中留下痕迹。

6. 黑客画像,大胆假设,小心求证。黑客用hunter作为用户名,还有一个Jaeger, 是德语的hunter,还有Benson,是一个香烟的品牌。通过显示器回显的速度,Cliff判断入侵者应该在6000公里之外。Cliff对屏幕那端的对手进行画像,成年男性,德国人,吸烟的男性等。最后的结果得到验证。


以杜鹃为隐喻,黑客入侵他人的系统,留下木马程序,恰似杜鹃的行为。

APT,高级持续性威胁(Advanced Persistent Threat),这种提法,在2010年左右才出现。这个故事,告诉我们,互联网的早期,就出现过网络间谍活动,持续一年多时间。变化的是,网络的规模,攻击手段等,不变的是攻方始终虎视眈眈,觊觎敏感信息。安全守方,也需要时刻警觉,杜鹃正在观察。


APT前传:杜鹃动了谁的蛋?


APT前传:杜鹃动了谁的蛋?

编辑:刘帅  校稿:张龙飞  王宁   审阅:徐特

APT前传:杜鹃动了谁的蛋?

APT前传:杜鹃动了谁的蛋?

点击“阅读原文”阅读绿盟科技金融事业部安全月刊

原文始发于微信公众号(绿盟科技金融事业部):APT前传:杜鹃动了谁的蛋?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月8日06:19:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   APT前传:杜鹃动了谁的蛋?http://cn-sec.com/archives/909987.html

发表评论

匿名网友 填写信息