本篇文章4708字,读完约12分钟
上兵伐谋,下伐交,下伐兵,其下攻城。 ——孙子兵法《谋反篇》
有些职业天生就害怕。 因为那是与人的优秀特质联系在一起的。 舞蹈让人联想到美丽的身体。 长跑让人联想到顽强的品质。 黑客让人联想到高级技术。
现实世界中的所有个体和组织在网络世界的布局中对应着可能是自己的大城市和小城市。 在险恶的网络丛林中,每个城市都面临着来自黑暗的突然箭头。
武林里的人,总是有对错之分。
邪恶的黑客经常打着技术无罪的旗号,带领山贼入侵城市烧死掠夺。 正义的黑客手持武器竖起城头,用正义的子弹打穿入侵者的喉咙。
确实,很多人一想到黑客就联想到高级技术。 但是,当你真正知道赛博世界拼命战斗的真相时,你会明白,对黑客最好的赞扬不是包围战略的高超技术,而是不战而使人兵屈服的闪光点。
诸葛亮一兵一兵,用琴音喝了司马懿的十万大军,保护了天下三分钟。
艾森豪威尔让德军主力空加莱登陆了人类荣耀之日诺曼底。
“盗梦空之间”的造梦师们通过无意识的攻击,自愿将企业解散到能源巨头的继承人费舍。
《孙子兵法》有云,攻城为下,攻心为上。
黑客世界之所以吸引人,是因为我们在现实世界中的所有幻想都真实发生在这里。 入侵公司,获得大量机密资料,可以在百货公司给对方致命的打击。
这是实话,一家知名公司的董事会刚散会,他们的会议记录就放在了竞争对手的桌子上。 社长刚写的文件,自己的企业还没来得及印刷,对方已经被所有企业传阅。 本公司最新设计的手机样机还来不及生产,对方已经根据图纸仿造并占领了市场。
我们看到的商业竞争背后几乎有无法言喻的赛博世界血战,这场血战的背后可能决定着身体一生兴衰的荣辱。 为了这个目标,邪恶黑客们可以使用最恶意的手段渗透、入侵。
但是,这个世界之所以不绝望,是因为有正义的黑客挺身而出,自己构筑强大的天网,与邪恶作斗争。 这些黑客包括潜行十几年,用自己的技术大大改变了中国在世界政治中的地位的中国第一个黑客cp和la0wang,以及曾经在腾讯防御互联网黑产的安全大牛oscar,和用一系列代码平整所有网站
年,这些代表中国最强黑客火力的黑客们聚集在一起,成立了名为“锦行科学技术”的“集团”。 这个集团的主要目标是黑客佣兵盗窃公司的肮脏攻击和疯狂消息。
他们唯一的武器是“互联网空间欺诈系统”——幻云。
哲学上,这个世界的所有成就都来源于对新闻的明确。 例如,
如果你能看透对方下一步要走的棋子,你就能赢。
如果能听到女神的思考新闻,告白成功的概率就会急剧增加。
如果你清楚明天哪只股票会上涨,一定会是两倍的价格。
但是,如果你已经是明确的消息,实际上是假的吗? 让对方相信他掌握了你的明确消息,这正是你制造的幻觉,这已经在防御上处于绝对优势。 简单来说,幻云试图建立一个让入侵的黑客认为进入公司内部的欺诈系统,但实际上只是进入了精心构筑的虚拟世界,如来佛就身陷手掌盗梦空之间,一步一步地暴露在很多玻璃店里。
刚才说的很多欺诈哲学,到底怎么实现?
雷锋网(公众号:雷锋网)的宅客频道有机会与锦行科技的几位大牛进行对话,他们提出了三个感兴趣的概念:蜜罐、蜜网、蜜场。
蜜罐是非常形象的语言。 蜜+罐,英语单词也是honey + pot。
蜜代表甜蜜的利益,即攻击者可能感兴趣的特征,罐代表环境,通过这种环境可以捕捉入侵者的行动。
从形象上来说,这就像在美国长大的苍蝇草。 利用甜蜜的气息带苍蝇来觅食,但苍蝇一进入陷阱,其命运就急转直下。
虽说进入蜜罐的黑客不会埋葬在这里,但留下了自己的攻击工具和攻击痕迹。 通过研究黑客采用的工具,防御者可以简单地开发对应的对抗工具,像人类的肌肉一样,获得对新病毒的免疫力。
锦行科技产品总监胡鹏为雷锋网宅客频道进行了简单的科普
蜜罐通常分为低交互蜜罐和高交互蜜罐,低交互蜜罐通常用于获取警报和攻击代码,高交互蜜罐用于密切注意和分解攻击者的行为。
但是总体上蜜罐的问题是环境太单一,特征明显,攻击者容易识别。
想象一下。 如果苍蝇记得苍蝇·丽格萨的形状,我相信苍蝇·丽格萨今后只能捕获各种各样的砖石。
简单来说,蜜网是有组织的蜜罐,使用各种蜜罐构筑欺诈互联网。 对黑客来说,网络空之间不能依赖视觉。 他们就像小偷潜入了漆黑的别墅,其中所有的室内装饰都需要他们用手触摸,然后自己做标记,在心里画了他们“想象中”的内部地图。
潜入的黑客是有经验的惯犯,只要摸摸假门,发现门后空仔细摸索什么都没有,他就能判断这个门是蜜罐。
但是,用不同的蜜罐做蜜网的话,小偷相信门后面有房间,里面放着衣柜里的沙发桌子等。 小偷摸索的时候,蜜网设置者有更多的时间来,等待他采用越来越多的攻击工具,制造更全面的防护武器。
但是,如刚才的比喻所示,蜜网只是假设在现实别墅中的虚拟房间,在小偷接触蜜网之前,有可能通过其他现实房间,蜜网设置在公司的现实系统内,因此对公司来说有可能受到黑客的攻击。
于是蜜场出现了。
蜜场是利用蜜罐、蜜网完美地模拟一个企业的所有架构。 相当于重建公司别墅,设置传送门(重定向器),检测到攻击的可能性后,将黑客的流量直接转移到假别墅(蜜场)。
黑客进入蜜场后,他想要的一切都被“发现”,他想要的中心经营数据放在办公桌上,他想要的财务报表在金库里,他想要的组织图在书架上。
这一切都是基于公司实际情况复制的幻想,当然,所有的数据都是假的。
这个伪造的“蜜场”和公司的真正环境有多相似?
锦行科技首席安全官la0wang (王俊卿)告诉雷锋网宅客频道。
蜜场实际上并不与公司真正的互联网体系结构百分之百相似,必须与黑客想象的公司互联网体系结构百分之百相同。 黑客从没见过公司真正的网络,他只需把触摸的情况与想象对照,越接近想象,他们就越不怀疑自己入侵了假系统。
【蜜罐蜜网蜜场的逻辑结构】
自古以来士兵不惜欺诈,蜜场的概念被人们理解。 但是,良好的“欺诈系统”是非常重要的一步,将黑客引入这个“盗窃梦空之间”是第一步。
公司内部的网络需要正常运营,所以必须为有权限的好人提供服务,引导坏人进入另一时刻空的“欺诈系统”幻云。
所以公司内部网络必须掌握的重要能力之一是区分好人和坏人。
对此,这些大牛黑客们设计了精巧的验证系统。
我们进行了将近20年的安全测试,经常是对方基层员工不知情地试图突破系统的防守。 所以,我们对攻击者的理解非常深刻。 我们能清楚地分辨出那些行为是正常的,那些行为必须入侵黑客。
这些特征不是明显的动作,可能是非常小的端口搜索动作,或者是让老刑警用小动作锁定小偷的罕见查询方法。
拉0王说。
是回小偷和别墅的比喻。 小偷进别墅后,摸几扇门。 作为小偷我不知道哪扇门后面有有价值的资料,他的方法一定要撬开几扇门。 其中有不用很大力气就被撬开的门,小偷一定要先进入这个房间看看。
没错,这个最好撬开的门正是蜜场的入口。
面对蜜场,小偷的世界被偷了一天,即使他马上离开了这个房间,外面的一切都悄悄地被蜜场取代了。
我不需要所有真正的门锁都非常强。 我只要所有真正的门锁都比通往这个幻云的门锁足够了。
王先生说
这个虚假的门在专业术语中被称为陷阱节点。 实际的陷阱节点可以部署在internet环境中的许多地方,例如办公室互联网、dmz区域(隔离区域)和核心数据区域。 入侵黑客遇到任何节点时,都会瞬间转向“盗梦空之间”,永远无法返回。
【攻击流重定向的图像】
既然来了,就别再走了
这一定是诈骗系统最想对入侵黑客说的。
因为提供了真实的环境,黑客对所处的环境没有疑问,对自己的技术感到高兴。 这时是监视黑客的好机会。
【幻云系统截图】
黑客骄傲地在幻云中穿梭,记录攻击中的网络数据、主机数据和各种各样的行动数据。
这些数据惊人地详细。 胡鹏介绍说:
我们收集的数据的比例是1:50。 这个比例是什么? 例如,捕获攻击者的攻击命令,并获取近50个项目的情况。 这包括该命令的相关新闻、相关新闻和环境新闻。 与此指令相关的所有数据都将被保存。
你为什么要这么做? 攻击的过程非常宝贵,特别是内部网渗透的全过程,如果我们没有保留那么多数据,后续的分析环节可能会受到影响,如果我们保留了足够的数据,就为后续的分析奠定了良好的数据基础。 所以,我们决定留下足够详细的攻击数据。
当然,收集所有消息的过程必须完全安静。 因为攻击者一发现破绽,就很可能马上离开,相反,有很多迷惑对方的行为。
拉0王说:
我们采用了非常隐蔽的无痕迹监视技术。 就像房间的地下有振动传感器,黑客在房间里什么都看不见,但他的一举一动都是由振动波记录的。 攻击者可以在我们的环境中愉快地攻击,我们可以愉快地收集攻击者的行动数据。 你不乐意做什么?
如果有丰富详细的数据基础,就可以开始行动分析。 其中设计感兴趣的妙手是攻击者的“语境”。
简单地举个例子:
这是微信前对话的截图,从对话中可以看出右边的人想向左边的权哥借5000元。 不是吗?看看第二张图。
看了第二张,我们知道左边的权哥没有借房子的钱还,而且语言不是算数,故意否认。 其实这个不还债的故事还很长,篇幅有限,所以我砍了其中的一小部分。 你用这个例子证明什么?
如果不是连续完美的语境环境,我们比较数据的分析结果很可能是错误的结果。
因此,完整的攻击上下文包括与攻击相关的上下文因素,如行为上下文、攻击时间、商业场景和目标对象。
胡鹏给我举了一些简单的例子。
商业场景:我们的欺诈环境由不同的商业场景组成。 例如,如果有办公室区域、dmz区域、核心数据区域等,根据场景不同,相同的动作有不同的意思,我们的分解在特定的业务场景中展开。
重要环节:在攻击过程中,攻击者是不同的环节,有不同的动作优势。 例如,刚进入内部网时的检查、检查后的渗透、拿到手后的数据的取得、步行时的痕迹的去除等。 这些是攻击过程的重要环节,比较重要环节的分解,我们可以从复杂的数据中整理秩序的过程,使分解的结果更清楚。
关键路径:攻击者在攻击过程中形成一定的攻击路径。 也就是说,攻击者如何一步一步地实现目标,通过那些重要的位置。 在这个过程中,比如攻击者如何选择不同的攻击路径? 例如,如何从办公室进入核心数据区域? 攻击者必须首先找到运维者或管理者的机器。 这个运维者或管理者是攻击路径的关键。 通过拆除重要的路径,可以看到攻击者攻击的构想和攻击的妙处。
习性特征:攻击者在攻击时,输入的命令,某攻击者进入后,其他顾客是否在线,某攻击者的习性是否常见,某攻击者的习性常见的过程,某习性进入后翻阅文件等,个人 根据这些特征,可以分析攻击者的习性特征,给攻击者提供图像。
通过以上动作,防御者得到了宝贵的消息。 这些消息包括:
攻击者的来源:他是从哪里发起攻击的?
攻击者的想法:他到底选择了什么路径,一步一步地得到了他想要的消息?
攻击者的身份:他采用什么工具,有什么攻击优势?
攻击者的证据:他所有攻击行为的罪证。
有了这些消息,基本上就可以确定黑客的身份和背景。 从这一瞬间开始,机器人世界战役的胜负已经分出来了。 剩下的是法律和正义在现实世界中惩罚黑客的肉体。
网络世界是现实世界的翻版。 大多数人都承认这个悲伤的结论。 有人的地方,有阴谋和结构。
不幸的是,网络世界比现实世界更复杂。 正义之光很难照亮这空之间的所有折痕沟。 越来越多的时候,这就像一片黑暗的森林,我们需要用武器武装自己,对抗被黑暗袭击的子弹。
所谓大道至简,即使网络空之间对中国来说是舶来品,“欺诈防御”也植根于中国的战争哲学。 在这些方面,中国正义黑客的尝试值得钦佩。
对付暴力的最好武器不是暴力,而是欺诈。
标题:【要闻】这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?
地址:http://www.tjsdzgyxh.com/tyxw/22502.html