黑客发现攻击新手段 关注业务逻辑攻击

近日,Imperva正式发布了两份报告——《Imperva 网络应用攻击报告》(简称WAAR)和《黑客情报汇总报告》,致力于为组织机构提供全面的攻击分析,帮助他们做好应对准备。WAAR报告显示,网络应用中的业务逻辑层正遭受到攻击。作为Imperva黑客情报计划的一部分,WAAR对2011年6月至11月这6个月期间现实的恶意网络应用程序攻击提供解决对策。而黑客情报汇总报告则揭示了一个由黑客组织“匿名者”发起的攻击的主要细节。

数以千计世界领先的企业、政府组织和服务提供商都依赖于 Imperva 解决方案来防止数据泄漏、符合合规性要求以及管理数据风险。Imperva首席技术官Amichai Shulman说道:“我们相信,这些分析报告的发布将帮助组织机构做好应对潜在攻击的准备,并让更大的安全社区对黑客操作方式有更深入的了解。”

Imperva 网络应用攻击报告(WAAR)

Imperva对40多种不同的应用程序攻击进行了监测并分类。WAAR概括了每个攻击的频率、类型及来源,以此帮助数据安全专业人员更好地按照优先次序修复漏洞。

“由于黑客可以通过合法的途径跟踪用户与应用程序的交互,因此业务逻辑层的攻击对于黑客具有非常大的吸引力,”Imperva首席技术官Amichai Shulman说道,“要做到这一点,需理解具体操作顺序对应用程序功能的影响是如何实现的。”因此,黑客可以利用应用程序截获私人信息,进行扭曲,并外泄给其他更多的用户 —— 这些行为通常不受安全控制。”

Imperva 发布的最新网络应用攻击报告一并指出:

•自动化应用攻击正在继续。在2011年6月至11月的六个月期间,被监测的网络应用程序每月遭受到130,000到385,000次攻击。高峰时,整套应用程序系统受攻击的频率高达一小时近38,000次或每秒10次。

•由于黑客有能力逃避监测,他们依赖于业务逻辑攻击: Imperva也研究了两类业务逻辑攻击: 评论垃圾广告和电子邮件提取。评论垃圾广告是指在评论栏里嵌入恶意链接来改变搜索引擎结果,潜在诈骗消费者。电子邮件提取是指对电子邮件地址进行简单分类,建立垃圾邮件发送列表。据统计,这些业务逻辑攻击在恶意攻击流量中占14%。

•业务逻辑攻击的来源是:

☆电子邮件提取被非洲国家的主机所控制。

☆评论垃圾广告中的不寻常部分经监测是来自东欧国家。

•黑客利用5种常见的应用程序漏洞:这五种常见的应用程序漏洞是:远程文件包含(简称RFI)、SQL注入(简称SQLi)、本地文件包含(简称LFI)、跨站脚本攻击(简称XSS)和目录遍历漏洞(简称DT)。跨站脚本攻击和目录遍历漏洞是最普遍的传统攻击形式。为什么要针对这些漏洞?黑客喜欢阻力最小的路径,而应用程序漏洞则提供了最丰富的目标。

这份报告中描述的很多攻击都不难被缓解。然而,我们的确发现网络应用程序面临的攻击变得更加多样化、技术上更加复杂、更难监测和阻止。显然,安全应对措施必须继续保护业务和其用户不被伤害、不受到损失。正确的减缓步骤有哪些呢?我们尝试创造一个完整的列表来帮助数据安全团队提高他们的效率。

Imperva在2011年度报告中提到的几点建议仍然有效:

☆部署安全解决方案,监测自动化攻击。监测必须在攻击过程中尽早实行。

☆监测和阻止已知的漏洞攻击。应用程序中可利用漏洞的知识库必须经常更新。

☆获得恶意来源的情报并即时应用。列出攻击主机的黑名单始终是一个很有效的防范措施。然而,这个名单必须实时更新、保持其实效性。

☆参与安全论坛,分享攻击的数据库。自动化攻击程度和范围的加剧在网络上留有明显的痕迹,但此痕迹仅能从大量潜在受害者处收集的数据中看出。

☆获取业务逻辑攻击来源的情报并即时应用。例如,评论垃圾广告在被公然揭露后还可以活跃很久。情报的重点必须在于每一种攻击的形式,因为正如我们所看到的,使用评论垃圾广告和电子邮件提取的攻击者展现出不同的属性。

☆攻击流量的地理信息对即时做出数据安全对策有所帮助。例如,经分析的业务逻辑攻击拥有独特的地理特征。

攻击者对自动化攻击依赖性的不断增强和自动化工具产生的大量恶意流量表明,监测这些工具迅速、精确、自动产生的攻击是至关重要的。作为一个常用的方针,流量属性和网络客户端必须不断被检查和监测。如果与正常流量属性有所偏差,则应该受到专业软件和专业人员的严密监测。

监测和防御自动化攻击包括:

•信誉机制的监测:获得并使用被攻击者雇佣的主机黑名单。

•高点击率:流量整形是自动化攻击最基本的指示。一旦超过与其相关的临界值(例如,每分钟点击3次),应用程序就应该延迟或阻止与网络客户端信息交换。

•输入流量的技术属性:软件工具产生的流量通常具有技术特征(例如特定的HTTP头),不同于一般浏览器所产生的流量。如果这不是预期的使用场景,阻止该流量。

•商业行为的重复:例如,多次登陆失败表明密码受到恶意攻击。当然,你的安全装置必须能够识别出这些“差异或者异常的表现”。

•质疑应用程序的网络客户端:测试你的应用程序是否真的与浏览器进行交互。例如,“虚假”浏览器没有对Java语言的执行能力。该应用流需包含发送Java语言代码给客户并核查其是否真的被执行。

•检测确有真人在操作:通过CAPTCHA(全自动区分计算机和人类的图灵测试)检测终端用户是真人。

黑客情报汇总报告

2011年期间,Imperva见证了一次由黑客组织“匿名者”发起、持续25天的攻击。黑客情报汇总报告——“匿名者”攻击报告对此提供了一个全面的攻击分析,包括从始至终攻击活动的详细时间表、黑客破坏方法的审查以及对使用社会媒体征集参与者、协调攻击的见解。

“我们的研究表明匿名者通常模仿盈利性黑客使用的方法,利用常见的方式——SQL注入和 DDoS(分布式拒绝服务攻击)来进行攻击。我们发现匿名者虽然发明了一些定制工具,但与开发复杂攻击不同的是,他们通常使用一些廉价现成的工具,”Imperva首席技术官Amichai Shulman说道:“我们的研究进一步表明匿名者第一步先尝试窃取数据,如果失败,会尝试DDoS攻击。”

“匿名者”攻击报告指出:

•该攻击由三个不同的阶段组成:征集和通信、侦查和应用层攻击,最后是DDos攻击。

•社会媒体渠道,尤其是Twitter、Facebook和YouTube是确认目标、发动攻击最主要的方法。在攻击第一阶段征集和通信的过程中,社会媒体也是最常用的方式招募自愿者加入攻击行列。

•富有经验的黑客只占自愿者的一小部分,他们主要活跃在侦查和应用攻击阶段,探测漏洞,进行应用攻击,例如通过SQL注入尝试窃取目标数据。

•非专业人员仅在第三阶段产生作用——帮助开展DDoS攻击——由于尝试偷窃数据的应用攻击失败。

•匿名者开发了一些定制工具——特别是低轨道离子炮(LOIC)和一种能从移动浏览器启动DDoS攻击的工具。然而,该组织也在侦查和应用攻击阶段依靠常见的工具来寻找和开发网络应用漏洞。

•与盈利性黑客不同,匿名者很少依靠常见的黑客技术,例如僵尸网络、恶意软件、网络钓鱼或鱼叉式网络钓鱼。