在“主动防御那些事”一文中我们提到对无辜第三方的伤害这一概念,而造成对无辜的第三方的伤害的主要原因包括:1)归因错误后发起的报复性行动;2)使用了无差别网络攻击的工具。其中第一点归因错误的引发原因还包括分析师的失误,以及分析师未能准确的识别“False Flag”(指嫁祸于他人的行为。历史上,“假旗”行动通常出现在海战中,即一艘船在攻击前使用另一艘船的旗帜, “假旗”因此而得名。),造成伤及无辜的第三方。“False Flag”的动机是多样的,有的可能是迂回攻击,隐蔽自己,也有的可能就是以制造被嫁祸者与受攻击者之间的矛盾而产生的。本文,让我们共同来学习识别“嫁祸于人”的一些方法。
至今为止,研究网络威胁归因方法有很多,Q模型、CAM模型等,那么在归因分析的过程中,我们应当从哪些角度来审视归因分析的结果,避免掉入“False Flag”的陷阱种呢?
首先我们回顾一下针对网络威胁我们需要回答的问题:5W1H(What、Who、Why、When、Where、 How)。在威胁情报领域,通常又把5W1H划分到三层里,即:战略、运营、战术(Q模型认为Why归属战略层,Who归属运营层,而What和How归属战术层)。然而我们把Q模型和CAM模型放在一起进行对比就会发现,这两个模型同时关注的焦点在Why、Who、What和How。抛开不同的理论把5W1H在战略、运营和战术层所摆放的位置有差异这个问题,我们应当如何做才能答出这3W1H呢?
Q模型(局部)
CAM模型
要回答3W1H问题,就需要解决技术、社会、心理等跨学科且复杂的问题,需要不同工作领域(例如:安全专家、执法机构)之间的合作。因此,我们就要像剥洋葱一样,从看的见摸、得着的地方着手,而这刚好和上图Q模型所展示的习惯性阅读顺序相反,也就是我们唯一可利用的信息How,所以归因分析是从How开始,到Why结束,经过若干次反复迭代,最终形成的结论。分析要点如下:
一、How
How对应着攻击者的能力,它不仅仅是破防能力,还包括误导分析师做出错误判断的能力。误导技术是多样化的,例如:使用代理服务器、使用 TOR 网络、语言设置、特殊字符串和错误提示(更多讨论参见:“洋葱式信息安全观察:溯源(归因分析)与机器学习” )。
在网络攻击事件中,攻击者能力(遗留在现场的恶意软件等)往往是受害者遭受攻击的现场唯一可以获得的信息,通过安全事件触发。因此,归因分析的第一步通常需要分析师具备技术硬实力。分析师需要将注意力集中在已经执行的网络攻击的确凿事实作为起点, 分析攻击的各种技术指标,例如:恶意软件、时间戳、语言和生活模式等。
分析师可以采用网络流量分析技术、沙箱技术、逆向技术以寻找攻击来源,并分析攻击源的组成(即What的组成)
二、What
在多个归因模型中,What都指向攻击者的基础设施,通过分析攻击者的基础设施信息可以关联到攻击者信息,例如:通过查询IP注册信息归因攻击者。针对攻击者的基础设施进行分析对构建攻击者能力画像也有帮助。
三、Who
Who包括了受害者和攻击者。网络攻击调查的起点是受害者,这是已知的事实,调查通过重现攻击过程来实现归因。通过基础设施关联到威胁者后,我们需要进行威胁着行为分析以构建完整的攻击图景。
另外,当分析师列出嫌疑攻击者后,他们需要努力去验证与攻击者相匹配的基础设施、工具和策略,例如:犯罪者是否具备攻击特殊目标的组件(例如:Flame,又名火焰)所需的特殊知识;他们是否有资源开发自己的工具包和零日漏洞?如果网络攻击调查的结果和潜在的威胁行为者的基础设施、能力不相符,分析师需要考虑潜在的“False Flag”的可能性。
四、Why
经济、政治、荣誉等原因构成了攻击者发起攻击的可能动机。(关于更多网络威胁动机的话题,请参考“洋葱式信息安全观察:网络威胁动机初探”)
分析攻击者的行为动机,例如:经济利益、政治利益等,并与受害者被攻击是否符合此类动机进行验证,如果两者动机不相符,分析师需要考虑潜在的“False Flag”的可能性。
在实际操作中,分析师必须验证假定的攻击者可能拥有执行攻击所需的工具和基础设施、能力和动机,以获得足够多的信息构建攻击者画像。分析师同时还要检查攻击者动机和受害者被攻击缘起动机的一致性。如果收集的信息所做出的归因结果不能达到足够的确定性,分析师就无法确定地判定嫌疑攻击者并推荐相应的措施,其最终结果也有可能会殃及无辜的第三者。
最后,我们需要注意的是真实的归因分析无法严格的遵从所谓的“流程”,分析师需要根据碎片信息随时调整分析策略,才能避免掉入“False Flag”的陷阱。
参考文献:
- Attributing Cyber Attacks
- Cyber Attribution 2.0: Capture the False Flag