黑客發現攻擊新手段　關注業務邏輯攻擊

　　WAAR報告顯示，網絡應用中的業務邏輯層正遭受到攻擊。作為Imperva黑客情報計劃的一部分，WAAR對2011年6月至11月這6個月期間現實的惡意網絡應用程序攻擊提供解決對策。而黑客情報匯總報告則揭示了一個由黑客組織“匿名者”發起的攻擊的主要細節。

　　數以千計世界領先的企業、政府組織和服務提供商都依賴于 Imperva 解決方案來防止數據泄漏、符合合規性要求以及管理數據風險。Imperva首席技術官Amichai Shulman說道：“我們相信，這些分析報告的發布將幫助組織機構做好應對潛在攻擊的準備，并讓更大的安全社區對黑客操作方式有更深入的了解。”

　　Imperva 網絡應用攻擊報告(WAAR)

　　Imperva對40多種不同的應用程序攻擊進行了監測并分類。WAAR概括了每個攻擊的頻率、類型及來源，以此幫助數據安全專業人員更好地按照優先次序修復漏洞。

　　“由于黑客可以通過合法的途徑跟蹤用戶與應用程序的交互，因此業務邏輯層的攻擊對于黑客具有非常大的吸引力，”Imperva首席技術官Amichai Shulman說道，“要做到這一點，需理解具體操作順序對應用程序功能的影響是如何實現的。”因此，黑客可以利用應用程序截獲私人信息，進行扭曲，并外泄給其他更多的用戶 —— 這些行為通常不受安全控制。”

　　Imperva 發布的最新網絡應用攻擊報告一并指出：

　　•自動化應用攻擊正在繼續。在2011年6月至11月的六個月期間，被監測的網絡應用程序每月遭受到130,000到385,000次攻擊。高峰時，整套應用程序系統受攻擊的頻率高達一小時近38,000次或每秒10次。

　　•由于黑客有能力逃避監測，他們依賴于業務邏輯攻擊： Imperva也研究了兩類業務邏輯攻擊： 評論垃圾廣告和電子郵件提取。評論垃圾廣告是指在評論欄里嵌入惡意鏈接來改變搜索引擎結果，潛在詐騙消費者。電子郵件提取是指對電子郵件地址進行簡單分類，建立垃圾郵件發送列表。據統計，這些業務邏輯攻擊在惡意攻擊流量中占14%。

　　•業務邏輯攻擊的來源是：

　　☆電子郵件提取被非洲國家的主機所控制。

　　☆評論垃圾廣告中的不尋常部分經監測是來自東歐國家。

　　•黑客利用5種常見的應用程序漏洞：這五種常見的應用程序漏洞是：遠程文件包含(簡稱RFI)、SQL注入(簡稱SQLi)、本地文件包含(簡稱LFI)、跨站腳本攻擊(簡稱XSS)和目錄遍歷漏洞(簡稱DT)。跨站腳本攻擊和目錄遍歷漏洞是最普遍的傳統攻擊形式。為什么要針對這些漏洞？黑客喜歡阻力最小的路徑，而應用程序漏洞則提供了最豐富的目標。

　　這份報告中描述的很多攻擊都不難被緩解。然而，我們的確發現網絡應用程序面臨的攻擊變得更加多樣化、技術上更加復雜、更難監測和阻止。顯然，安全應對措施必須繼續保護業務和其用戶不被傷害、不受到損失。正確的減緩步驟有哪些呢？我們嘗試創造一個完整的列表來幫助數據安全團隊提高他們的效率。

　　Imperva在2011年度報告中提到的幾點建議仍然有效：

　　☆部署安全解決方案，監測自動化攻擊。監測必須在攻擊過程中盡早實行。

　　☆監測和阻止已知的漏洞攻擊。應用程序中可利用漏洞的知識庫必須經常更新。

　　☆獲得惡意來源的情報并即時應用。列出攻擊主機的黑名單始終是一個很有效的防范措施。然而，這個名單必須實時更新、保持其實效性。

　　☆參與安全論壇，分享攻擊的數據庫。自動化攻擊程度和范圍的加劇在網絡上留有明顯的痕跡，但此痕跡僅能從大量潛在受害者處收集的數據中看出。

　　☆獲取業務邏輯攻擊來源的情報并即時應用。例如，評論垃圾廣告在被公然揭露后還可以活躍很久。情報的重點必須在于每一種攻擊的形式，因為正如我們所看到的，使用評論垃圾廣告和電子郵件提取的攻擊者展現出不同的屬性。

　　☆攻擊流量的地理信息對即時做出數據安全對策有所幫助。例如，經分析的業務邏輯攻擊擁有獨特的地理特征。

　　攻擊者對自動化攻擊依賴性的不斷增強和自動化工具產生的大量惡意流量表明，監測這些工具迅速、精確、自動產生的攻擊是至關重要的。作為一個常用的方針，流量屬性和網絡客戶端必須不斷被檢查和監測。如果與正常流量屬性有所偏差，則應該受到專業軟件和專業人員的嚴密監測。

　　監測和防御自動化攻擊包括：

　　•信譽機制的監測：獲得并使用被攻擊者雇傭的主機黑名單。

　　•高點擊率：流量整形是自動化攻擊最基本的指示。一旦超過與其相關的臨界值(例如，每分鐘點擊3次)，應用程序就應該延遲或阻止與網絡客戶端信息交換。

　　•輸入流量的技術屬性：軟件工具產生的流量通常具有技術特征(例如特定的HTTP頭)，不同于一般瀏覽器所產生的流量。如果這不是預期的使用場景，阻止該流量。

　　•商業行為的重復：例如，多次登陸失敗表明密碼受到惡意攻擊。當然，你的安全裝置必須能夠識別出這些“差異或者異常的表現”。

　　•質疑應用程序的網絡客戶端：測試你的應用程序是否真的與瀏覽器進行交互。例如，“虛假”瀏覽器沒有對Java語言的執行能力。該應用流需包含發送Java語言代碼給客戶并核查其是否真的被執行。

　　•檢測確有真人在操作：通過CAPTCHA(全自動區分計算機和人類的圖靈測試)檢測終端用戶是真人。

　　黑客情報匯總報告

　　2011年期間，Imperva見證了一次由黑客組織“匿名者”發起、持續25天的攻擊。黑客情報匯總報告——“匿名者”攻擊報告對此提供了一個全面的攻擊分析，包括從始至終攻擊活動的詳細時間表、黑客破壞方法的審查以及對使用社會媒體征集參與者、協調攻擊的見解。

　　“我們的研究表明匿名者通常模仿盈利性黑客使用的方法，利用常見的方式——SQL注入和DDoS(分布式拒絕服務攻擊)來進行攻擊。我們發現匿名者雖然發明了一些定制工具，但與開發復雜攻擊不同的是，他們通常使用一些廉價現成的工具，”Imperva首席技術官Amichai Shulman說道：“我們的研究進一步表明匿名者第一步先嘗試竊取數據，如果失敗，會嘗試DDoS攻擊。”

　　“匿名者”攻擊報告指出：

　　•該攻擊由三個不同的階段組成：征集和通信、偵查和應用層攻擊，最后是DDos攻擊。

　　•社會媒體渠道，尤其是Twitter、Facebook和YouTube是確認目標、發動攻擊最主要的方法。在攻擊第一階段征集和通信的過程中，社會媒體也是最常用的方式招募自愿者加入攻擊行列。

　　•富有經驗的黑客只占自愿者的一小部分，他們主要活躍在偵查和應用攻擊階段，探測漏洞，進行應用攻擊，例如通過SQL注入嘗試竊取目標數據。

　　•非專業人員僅在第三階段產生作用——幫助開展DDoS攻擊——由于嘗試偷竊數據的應用攻擊失敗。

　　•匿名者開發了一些定制工具——特別是低軌道離子炮(LOIC)和一種能從移動瀏覽器啟動DDoS攻擊的工具。然而，該組織也在偵查和應用攻擊階段依靠常見的工具來尋找和開發網絡應用漏洞。

　　•與盈利性黑客不同，匿名者很少依靠常見的黑客技術，例如僵尸網絡、惡意軟件、網絡釣魚或魚叉式網絡釣魚。