1.Tradecraft定义
Tradecraft是一个特定领域内使用的专业术语,没有一个统一的官方中文翻译。根据语境,可以有几种不同的翻译方式:
-
1. 谍报技巧/谍报手段:这个翻译强调tradecraft是情报人员的专业技能,适用于讨论传统间谍活动的语境。
-
2. 攻防技术/攻防战术:这个翻译更适用于网络安全领域,强调攻击方和防守方之间的技术对抗。
-
3. 行动技战术:这是一种更加中性的翻译,可以涵盖传统情报和网络情报领域,强调实际行动中使用的战术和技巧。
-
4. 内行手法/行家本领:这个翻译较为口语化,强调tradecraft是某个领域内专业人士掌握的专门技艺。
传统上,Tradecraft是指间谍和情报人员在从事间谍活动时使用的技能、方法和技术的总称。它涵盖了情报工作的方方面面,旨在提高行动的隐蔽性、安全性和有效性。具体包括:
-
1. 身份伪装:使用化名、假身份、乔装改扮等方式隐藏真实身份。
-
2. 通信安全:使用加密设备、密码、暗语、临时通信地点等保证通信安全。
-
3. 反监视:识别并甩开对方监视,避免暴露或被跟踪。
-
4. 接头方式:运用各种隐蔽接头方式与线人或同伙会面并交接情报。
-
5. 情报搜集:运用各种人际关系、社交工程等手段,有针对性地搜集情报。
-
6. 渗透方法:策反他人、安插卧底,渗透到目标组织内部。
-
7. 技术支持:利用各种专业技术设备,如窃听器材、微型摄像头等。
-
8. 突发事件应对:遇到危急情况时保持镇静,迅速采取应对措施。
总之,tradecraft就是情报人员的谋生手段和独门绝技,是在复杂严酷的环境下开展隐蔽工作所必备的专业素质。
2.CIA的情报专家和NSA的网络情报专家眼中的Tradecraft
CIA情报专家:
Tradecraft是指情报人员在执行任务过程中使用的各种技能、方法、技术和程序的总和。它是我们这一行的内功,是长期实战经验的结晶,其目的就是最大限度地完成情报目标,同时最小化风险、规避对手、保护自身。
Tradecraft贯穿情报活动的始终。在选择和发展线人时,需要运用心理学、社交工程等手段去发掘对方的动机、弱点和把柄,慢慢培养信任关系。在部署情报行动时,要精心设计掩护身份,安排反监视和撤离路线,还要制定应急预案。互相传递情报时,双方会使用一些只有彼此才懂的暗号、接头暗语。为获取关键情报,有时还得实施秘密入侵、窃听窃照、策反渗透等特殊行动。这一切都是Tradecraft的范畴。
我们必须将Tradecraft运用到炉火纯青的程度。一个经验丰富的情报人员,能在最危险的环境中神不知Gui不觉地开展工作,与当地环境浑然一体,同时又能见微知著、快速反应。Tradecraft是一门艺术,需要持续学习和创新,因为我们的对手也在不断进步。
当前,网络空间已经成为情报博弈的主战场。因此现代Tradecraft也必须与时俱进,融入新的攻防利器。比如说,利用AI、大数据分析来甄别线人,用区块链、量子通信来传递机密情报,运用0day漏洞武器攻陷对手系统等。但万变不离其宗,Tradecraft的精髓永远是智慧与技巧,永远是那个埋伏在暗处默默守候猎物的影子。
这就是Tradecraft的真谛。它是情报人生存和制胜的不二法门,是我们这个特殊群体安身立命的根本。Tradecraft就像刀,练好了,就能在谍海沉浮;练不好,就会把命送掉。
NSA网络情报专家:
NSA的网络情报专家更侧重于在网络空间中开展情报工作的特定技术、战术和流程。
对我们而言,Tradecraft就是用来渗透目标网络、获取关键情报、实现任务目标,同时保护自身安全的一整套技战术体系。它融合了各种网络攻防技术、漏洞利用、代码编写等专业技能,以及为适应不同网络环境而灵活调整行动方案的经验与智慧。
我们的Tradecraft始于足够隐蔽和可信的攻击向量,比如鱼叉式网络钓鱼、水坑攻击、零日漏洞利用等,目的是获取目标系统的初始访问权限。进入内网后,我们会优先使用目标系统自带的管理工具,而非自定义的恶意软件,去实现横向移动和权限提升,直到控制关键节点,因为这样更难被察觉。我们还会滥用VPN、防火墙、域控等边界设备作为跳板,在关键时期投放恶意软件实现持久化控制。
为了躲避安全监测,我们的C&C通信会混淆在正常的网络流量中,利用第三方服务、多层加密、P2P等方式传输数据。有时还会故意在攻击后留下其他APT组织或黑客的已知工具,通过伪装错误的归因来掩盖自己的身份。随着攻击的暴露或形势的变化,我们必须快速调整战术,更新武器库,避免使用已经公开的工具和漏洞,以此来保持Tradecraft的有效性。
此外,我们还会利用假黑客组织放出攻击声明,把水搅浑,或是直接在暗网论坛"泄露"入侵记录,借此引导对手的态势感知。这就是Tradecraft在网络空间影响和信息操纵领域的应用。我们的Tradecraft源于传统间谍学,但用创新的技术给它赋予了新的内涵。
总之,对NSA的网络情报人员来说,Tradecraft是一个涵盖了入侵、隐藏、欺骗、误导等多个层面的多元体系,是在复杂严峻的网络安全对抗中攻防兼备、步步为营的制胜之道。精湛的Tradecraft 能让我们在"几千里外发现目标,用一粒沙子杀S对手,然后通过6个代理跳板安全撤离",正如我们所追求的那样。
总之,在现代情报领域,无论是人力情报HUMINT还是信号情报SIGINT、网络情报CYBER INT,Tradecraft都是一以贯之的生命线。NSA与CIA对Tradecraft的理解各有侧重,但精髓是殊途同归的,那就是:见人所未见,知人所未知,制人所不能。
3.Tradecraft真实案例
3.1 NSA的顶级黑客部门TAO(Tailored Access Operations)高端Tradecraft
1. 多态C&C信道:TAO开发的一款名为"Validator"的恶意软件,其C&C通信非常狡猾。它会根据不同的目标环境,自动选择合适的通信协议,比如 HTTP、HTTPS、SMB 等。此外,Validator 每次回连时,都会就地生成一个全新的、独一无二的信道,而且仅使用一次,下次就更换。这使得安全人员很难通过流量分析来确定C&C信道。
2. 隐蔽的跳板:TAO利用"Seconddate"工具,悄无声息地接管目标内网的关键节点,如存储服务器、打印服务器等,并将它们转变为隐蔽的跳板。这些被害服务器表面上运行正常,但暗地里成为TAO的"僵尸网络",用于向内网更深处渗透。Seconddate会智能识别高价值目标,选择性植入后门,难以被全面清查。
3. 借S还H:TAO的武器库中有一款名为"Swap"的Rootkit,它会取代Windows的系统关键文件,并将自身伪装成正版文件,连数字签名都一样。即便管理员发现蹊跷,尝试恢复系统文件,Swap也会"借S还H",秒速回归。这需要对操作系统内核有极其深入的理解。
4. Gui影藏形:TAO的另一个Rootkit"Starburst"更是Gui斧神工。它会深度隐藏在硬盘的主引导记录(MBR)中,甚至可以躲避低级格式化。就算受害者买了新硬盘,Starburst也能在系统启动时秒速感染。除非物理销毁硬盘,否则它就如影随形、挥之不去。
5. 匿名溯源:为了精准溯源目标身份,TAO开发了"Olympus"这套神器。它能自动关联分析海量数据,如IP地址、Cookie、设备指纹等,构建目标的网络画像,即便目标使用了TOR、VPN、代理等匿名工具,也难逃法眼。Olympus 甚至可以利用0day漏洞,瞬间点杀匿名网络中的特定目标。
6. 供应链攻击:TAO深谙供应链的奥妙。他们曾成功渗透Cisco、Juniper、华为等知名网络设备厂商,并在工厂生产链中预置后门。这些"带毒"的设备流入全球,让TAO轻松实现大规模远程控制。据称,思科某型号路由器的加密芯片中,就隐藏着TAO的"暗门"。
7. 间谍卫星:TAO还有自己的间谍卫星,用于窃听目标区域的微波通信。这些卫星可以在太空中拦截地面的信号,解密并回传NSA。卫星轨道精心设计,能在特定时间掠过目标上空,进行精准侦听。这是TAO将网络情报Tradecraft拓展到太空层面的创举。
看完这些实例,相信你对NSA网络情报人员的高超Tradecraft有了更直观的认识。他们精通操作系统、网络协议、加密算法等,开发出了一系列隐蔽、复杂、自适应的黑客工具,犹如网络空间中的"隐形人",来无影去无踪。这背后凝结了数学、密码学、逆向工程等诸多学科的精华,以及顶级黑客的无限创意。
当然,上述只是有限的窥豹一斑。NSA的真正绝招,恐怕仍是行业机密,需要更多的Snowden站出来揭秘。但可以肯定的是,TAO的网络情报Tradecraft代表了全球顶尖水平,值得所有网络安全从业者学习借鉴,也为我们敲响了警钟:数字时代,没有绝对的安全,只有不断的对抗。
3.2 私营威胁情报厂商眼中的Tradecraft
在下文中,tradecraft 是指APT29(一个被认为由俄SVR支持的网络间谍组织)在其网络攻击和间谍活动中所使用的各种复杂的战术、技术和程序(TTPs)。这些技术和程序包括:
1. 多样的入侵向量:APT29利用被盗凭证、网络服务器漏洞、密码喷射和鱼叉式网络钓鱼等方式获取初始访问权限。例如,在SolarWinds供应链攻击中,APT29利用信任关系和供应链漏洞进行攻击。
2. 高度的行动安全(OPSEC):
- 网络级OPSEC:使用合法服务进行指挥和控制(C2),调整C2回调间隔,使用匹配受害者环境的主机名,利用TOR、VPN等匿名服务访问受害者环境,等等。
- 主机级OPSEC:混淆恶意进程和任务,将恶意二进制文件伪装成合法文件,使用加密连接进行数据外传,禁用安全监控工具等。
3. 攻击技术的演变:APT29不断调整其技术,以适应新的受害者环境和新兴技术。例如,自2018年以来,他们减少了定制工具的使用,转而利用被盗凭证和本地工具来保持对受害者环境的访问。
4. 持久化与特权升级:APT29使用如TANKTRAP脚本创建组策略对象(GPO),在受害者网络内横向移动并部署破坏性负载。
5. 从本地到云:APT29利用其对微软工具和云环境的深刻理解,在不依赖特定漏洞或定制恶意软件的情况下,滥用产品功能实现和保持访问。
6. 绕过多因素认证(MFA):利用各种方法满足受害者环境中的强认证要求,包括滥用服务主体、预计算cookie和重复MFA推送通知,直到用户接受认证。
7. 轻量级恶意软件足迹:为了减少被检测的机会,APT29倾向于使用公开可用的工具,如Cobalt Strike BEACON,而不是自定义工具。
8. 监控和适应补救措施:APT29监控受害者的邮件以了解补救措施,并迅速调整其TTPs以保持访问。
总体而言,tradecraft 描述了APT29在其网络间谍和攻击活动中使用的一整套复杂和精细的操作方法,这些方法显示了其高度的组织纪律性、技术先进性和适应能力。
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
APT
入侵分析与红队攻防
天御智库
原文始发于微信公众号(天御攻防实验室):情报和网络情报工作中的Tradecraft
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论