暗網潛航——黑客術概覽(三)——伏而深謀

  當黑客已經進行「列舉分析」,對攻擊方法進行精細的沙盤推演後,也要注意到底防禦方有否「裝陷阱」。

  這個特殊的信息安全技術叫「蜜罐」(Honeypot),專指用來抵禦或者誘騙攻擊者的陷阱系統。建立蜜罐的原因,一般是想進行漏洞研究或鑑證調查,而故意部署一個已安排一系列漏洞的系統,或為了擾亂攻擊者尋找有價值的資訊,將他們引導離開而故意佈下的假系統。

  這些系統內都充滿似是而非的信息,看來很有價值,但是卻同時布下無數監控機關,觀察攻擊者的行為模式和入侵手法,也用作追查攻擊者的真實IP地址甚至地理位置,把他們的一舉一動全都記錄備案。

  設計蜜罐系統主要分為模擬系統和真實系統,通常模擬系統是透過軟件,把原本的系統端口開放,建立虛擬系統,或改動內部的信息,偽裝成別的系統。例如我們可以把一個Linux系統內部的軟件偽裝成Windows,或透過高負載量系統把整個信息系統建立在虛擬機器裏面,又或者配合系統端口的開關,製造本來不存在的系統服務來欺騙端口掃描器。

  但是我們還有「這個世界沒有比Windows NT更像Windows NT」的說法,就是直接使用真正的硬件和軟件,建立一整套陷阱系統放置在網絡上,誘騙攻擊者。

  蜜罐系統不管是虛擬還是真實,可以有很多形態。通常單一的陷阱主機系統叫做Honeypot、連接多部主機的陷阱信息系統叫做Honeynet、偽裝成為一整個主機群大型系統的叫做Honeyfarm 、偽裝成瀏覽器對應網頁惡意軟件的叫做Client Honeypot等。

  所以黑客入侵系統時,須不時自我懷疑:之前收集目標存在的漏洞及系統資料,它們是真的嗎?

  幾乎所有幹練的黑客,都會養成一個習慣:在軍事情報學叫做「第十人理論」,不管你收集的情報有多精準、分析得有多徹底、構置而成的攻擊流程多緊密,你總是要不斷作出質疑,由不同角度反覆驗證,挑戰其中的矛盾或不完善的地方,才能確保情報真實性。

TOZ聯合創辦人

龐博文


hd