如何從內網隱蔽的拖走大量數據不被發現?
例如 Sony 被拖了幾十 TB 的資料和電影,運維再菜也能看出流量有問題吧…這麼大的數據用低帶寬慢慢拖也不現實…
這個問題邀的……
答也不是,不答也不是。
大致說說不涉及技術細節吧,說多了太敏感。
所謂APT就是「高級持續性威脅」,既然持續性,那就不是一天兩天的,這個攻擊應該已經好長時間了,拖數據可能也拖了至少數周至數月。
//2014年12月15日更新
在APT攻擊中,攻擊者往往需要長達幾個月的時間去搜集信息、布局資源,可能需要更長的時間等待一個合適的漏洞或者上當的被釣魚用戶。
目前索尼被盜的已知內容很多,有郵件、電影劇本、員工信息、財務報告、合同等,這些不可能是在同一台伺服器上的,也許都未必在同一個機房(有些可能在公網伺服器上,有些可能是在辦公網裡的),入侵的時間本身也會拖得非常長,所以多半是一邊滲透一邊拖數據的。
索尼從幾年前開始就各種被黑,從在線遊戲帳號到用戶信用卡信息等等,一方面說明了索尼自身的安全水平並不高,另外也說明了「不怕被賊偷,就怕被賊惦記著」這一俗話的正確性。甚至或許他們壓根就沒能清理乾淨之前攻擊者使用的漏洞和留下的後門也說不定。
//2014年12月15日更新完畢
低帶寬其實並不是真的,攻擊者不會使用ADSL去拖數據,多半在訪問速度較高的位置(路由較短,帶寬較大)已經建立了跳板和存儲伺服器(群),第一步拖到這個跳板/存儲伺服器(群),然後再想辦法拖到可以物理接觸的位置(比如自己租用的伺服器),通過硬碟直接拷走。
在有流量異常監測的伺服器上拖數據可能確實是一個挑戰,但是如果數據是偽裝成正常的協議(比如Web網站的HTTP協議),而且超出的部分只佔現有流量總量的一小部分,那就很難被發現。
假設索尼娛樂出口帶寬為千兆,實際帶寬使用一般是40%-60%,按照平均值50%計算,那麼APT流量不能超過1Gbps X 20% X 50% = 100Mbps(實際流量要按照正常流量波動跟隨),那麼就是10MBytes/秒,如果被偷數據是100TB,大概需要拖115天,對APT來說不算特別長的時間了。如果稍微囂張些,逐步提高流量佔用比例(只要不是突變,異常流量監測很難發現),時間會更短。
當然,還要考慮異常流量檢測時對於IP到IP的異常分析,所以實際拖的時候多半是壓縮並分割為特定大小的包,由不同的IP地址拖出去,回傳後再解壓重組,所以既不必擔心報警,也不必擔心斷點續傳的問題。
最後,我覺得索尼娛樂未必有高級的異常流量檢測(他們2011年就被大規模黑過一次了),如果這樣的話只要攻擊者注意不把人家的伺服器或者帶寬佔滿了,悠著點就沒事了。果然名人效應啊 ,TK說啥 大家就認為是對的,事實就是這樣的。而實際是這樣的么?
大家為什麼不去思考下呢。幾十T 唉。高級別對抗中,有用DoS來掩護真實流量的,有先分析對方所用的安全設備,再制定相應方案的。你去翻《三十六計》,辦法基本上都在裡面:混水摸魚、暗渡陳倉;借屍還魂、李代桃僵;圍魏救趙、趁火打劫。
以後我會寫出來,如何拖大量的文件不被發現
推薦閱讀: