企业网络进攻性操作指南:从基础欺骗到高级黑客反击

本文详细介绍了企业可采用的多种网络进攻性操作,包括本地欺骗、基础设施拆除、公共披露、法律行动等,涵盖技术复杂度与业务风险,并强调法律合规的重要性。

企业网络进攻性操作指南

我一直想写这篇文章,现在终于决定动笔。这里写的一切都严重依赖于你法律上被允许做什么,而这又取决于你的法律实体/公司所在的国家、地区法律法规、影响你的国际法律,以及业务本身(例如,网络安全公司相比零售业务会有更多的自由)。这就是为什么如果你决定对对手采取进攻性操作,你必须首先与你的法律顾问确认你的目标,并获得他们的签字同意。

话虽如此,在什么都不做和黑客反击对手之间有许多层次。其中一些相当常见,而另一些则只有国家行为者才会采用。为了简化结构,我创建了一个图表,试图将它们放入某种框架中,以帮助你决定哪些进攻性操作是法律允许且技术上有能力执行的。如果你不确定从哪里开始,可以自由使用这个作为起始指南;但不要仅限于那里提到的内容,根据你的需求和能力进一步发展它。它应该给你一个起点。在图表下方,你会找到每个提到的名称的简要解释。

从低复杂度、低业务风险开始,我们有:

本地欺骗操作:所有可以在公司环境内部实施的网络欺骗,如蜜罐、蜜网、蜜标、欺骗/虚假网络等,以引诱对手进入高度受控的环境并监控他们的活动,和/或快速检测并拒绝/破坏他们的操作。

  • 进攻性行动:诱使对手采取行动,从而获得检测和响应的战术优势。
  • 复杂度:低/中
  • 业务风险:轻微(由于保持所有这些欺骗操作机密,可能会对员工产生负面影响/看法,以及安全团队内部的复杂流程)

基础设施拆除:即通过服务提供商或直接通过托管公司报告和请求拆除恶意基础设施。这包括请求拆除钓鱼域名、恶意软件托管服务器、电子邮件账户等。

  • 进攻性行动:根据拆除情况,这可能是对对手基础设施的降级、拒绝、破坏或摧毁操作,诱导他们重新建立该基础设施的成本。
  • 复杂度:低/中
  • 业务风险:中等。流程需要明确定义,以避免任何问题,如请求拆除合法基础设施、受到受影响公司的法律问题、避免在拆除请求中泄露敏感信息等。

间接公共披露:几个威胁情报供应商和国家CERT允许匿名报告/公开披露情报报告。这种能力允许公司公开披露细节,否则会有“公共披露”操作中提到的风险。

  • 进攻性行动:迫使对手改变他们的TTP(从而诱导他们的操作成本和延迟),让全世界知道对手做了什么以及如何做,这可能使国家行为者或其他公司使用这些公开材料作为更激进进攻性行动的支持证据。
  • 复杂度:低
  • 业务风险:当匿名化小心完成时,风险轻微。

主动暗网监控:通过这个术语,我指的是任何获取访问和监控对手通信渠道(如Telegram群组、暗网论坛等)的操作,以尽可能早地了解针对你业务的任何进攻性行动并采取适当措施。对于大多数公司来说,这通常通过威胁情报供应商实施。

  • 进攻性行动:渗透到对手的通信平台并收集关于他们活动的 intelligence。
  • 复杂度:低/中
  • 业务风险:当通过供应商完成时,风险轻微。当内部开发时,风险中等,因为它需要高度纪律、流程、OPSEC措施、法律和隐私签字等。

与当局合作:即主动联系与网络操作相关的执法和/或情报机构,帮助他们对特定对手进行操作。例如,向他们提供证据、只有你公司拥有的信息等。

  • 进攻性行动:可能对国家行为者采取行动 against your adversary(-ies),如起诉、外交/外部行动、制裁、 covert actions等。
  • 复杂度:中等
  • 业务风险:这带来了企业与特定政府和/或政党关联的明显风险,意外卷入无关的政府问题,成为你合作当局的“代理人”,被其他国家/政府视为国家代理等。

法律行动:这涉及你的公司可能对对手采取的任何法律行动,如 cease and desist letters、 seizure of malicious infrastructure、对特定对手的 criminal complaints、制裁等。

  • 进攻性行动:通过法律手段主动和 overt approaches 破坏和摧毁对手活动。
  • 复杂度:中/高
  • 业务风险:中/高。这将需要经验丰富的调查员、具有实际法律/起诉经验的数字取证专家、建立刑事案件和管理证据的流程、经验丰富的法律资源、对公开 exposure 的 appetite,当然,接受现在你的对手知道你知道什么,并且当案件上法庭时,总是有可能你会输掉案件。

公共披露:这是许多国家行为者的外交政策工具,也可以在私营公司中实施。通过让每个人都知道谁 targeted you,特别是对于国家行为者,向全世界你给任何其他国家行为者 ammunition 使用这些信息 against your adversaries, without your direct involvement。

  • 进攻性行动:揭示一个旨在 covert 的操作,导致对手改变他们的 tactics,并给他们的对手机会使用这些披露的材料 against them。
  • 复杂度:中/高
  • 业务风险:中/高。这种披露可能会带来很多负面 press,并且还会揭示你知道什么。这意味着那些对手下次针对你的公司时可能会使用更先进的技术。此外,国家可能会请求你在法律行动中支持。对于风险较低的方法,检查“间接公共披露”操作。

远程被动SIGINT(信号情报):这意味着通过第三方如数据经纪人或威胁情报供应商获取信号(通常是原始网络流量或原始通信),这可以帮助你主动发现对手活动。

  • 进攻性行动:检查在你组织外部收集的数据,以主动发现并拒绝任何针对你公司的对手活动。
  • 复杂度:中等
  • 业务风险:轻微。唯一风险是确保你不使用任何非法或 shady services,而是依赖行业标准和知名供应商。

远程欺骗操作:此类操作包括创建你公司的虚假 profiles、虚假公开 exposed services、虚假 leaked documents with tracking tokens等。这是后面讨论的“Sting Operations”的较轻版本。

  • 进攻性行动:通过用虚假目标引诱对手来 hunt adversaries,以便你能在他们 targeting the real assets of the company 之前抓住他们。
  • 复杂度:中等
  • 业务风险:轻微。 mostly around having strong processes to avoid security mistakes which will jeopardise your security posture, and keep those well-managed, but also operating on a need-to-know basis.

数据泄露数据利用:这意味着获取数据泄露中的数据,并使用它们 uncover adversarial activities or intelligence which will help you proactively protect your company。例子包括主动发现用于恶意目的的基础设施、对手使用的账户、 deanonymization等。

  • 进攻性行动:利用 otherwise be confidential to the organization that had them 的数据,以获得更多关于你对手的 insights。
  • 复杂度:中等
  • 业务风险:中等。关于数据泄露数据利用有很多法律和 ethical debate,这可能对 company 产生一些业务影响。此外,处理此类数据涉及一些复杂性,在访问管理、审计谁做了什么以及为什么、保留策略等方面,这意味着可能需要额外的资源、技术和流程。

虚假旗帜操作:一种 advanced offensive technique 来 trick your adversaries into a thought process to take advantage over their actions。例如, make it look like a rival adversary leaked information about them, or have them believe that a rival adversary has already compromised the systems they are in。

  • 进攻性行动:动态和主动改变你对手的TTP,通过迫使他们相信 something other than what they see is happening。
  • 复杂度:中/高
  • 业务风险:中/高。那些操作需要非常 careful planning, discipline and could easily backfire in a variety of different ways including negative media attention, making your adversaries switch to more advanced techniques, legal actions from government bodies that you might have interfered with their operations, having the opposite effect, etc.

CNA操作:计算机网络攻击(CNA)操作是任何会导致对手基础设施和资源降级、破坏或摧毁的活动。例子包括拒绝服务攻击、 seizure of their resources、 flooding their resources(如 mass mailers、 automated calls等)、在他们的平台上创建无数虚假账户、 spam、 feeding them with fake data等。

  • 进攻性行动:导致对手将精力集中在响应CNA操作上,而不是执行他们 intended malicious activity。
  • 复杂度:高
  • 业务风险:高。这是一个非常 grey area,可能会让公司被视为 criminal entity。需要有非常 thorough legal and business alignment on how, why, who, when, and where those activities will happen,并且在大多数情况下,对于大多数公司来说,执行此类操作是(法律上)不可能的。

Sting Operations:这里防御者可以尝试 pose as criminals to infiltrate a group, or set up a fake website to recruit cyber-criminals, and other similar operations with the end goal to infiltrate the adversary’s entities。

  • 进攻性行动:主动识别对手计划并通过应用适当的安全控制来拒绝它们。
  • 复杂度:高
  • 业务风险:高。对于绝大多数公司来说,法律上不可能做到这一点。然而,一些公司可能与当局合作 pull this off。风险很高,并且在多个层面上,从公共关系,到影响执法操作,到隐私和法律问题等。

接管:在接管操作中,私营公司使用他们的知识和资源来 take control of infrastructure operated by the adversary。这不仅会诱导对手为新基础设施付出成本,而且还可以 reveal details of their TTPs, identifiable information connecting them to their real identities, and so on。

  • 进攻性行动:拒绝对手访问,破坏或降级他们的操作,并收集他们数字能力和信息的 significant part。
  • 复杂度:高
  • 业务风险:高。 back in the day, those were a common occurrence but as cyber is becoming more and more of a regulated and controlled space, conducting a takeover could result in very serious legal and PR implications for a business。 Nowadays, those are typically limited to specific companies operating in this space and government entities。 They can still be performed by others, but it is a complex process with many moving parts。

在线HUMINT(人类情报):这些操作的目的是通过利用 human weaknesses(如 social engineering、 recruiting insiders等)来理解和渗透到对手群体/网络中,而且还要从内部破坏他们的操作。例如,招募(或成为)一个有影响力的成员并在群体中制造 tensions, make arguments to change the group’s focus from operations to internal conflicts, create division among members等。

  • 进攻性行动:根据级别,它可以是任何事情,从收集关于对手TTP的 intelligence 以主动保护你的资产,一直到制造内部冲突,这将导致破坏或完全摧毁一个群体。在某些情况下,那些 tensions 可能会发展到成员向当局互相报告。
  • 复杂度:高
  • 业务风险:高。那些操作通常限于国家行为者,他们有 dedicated resources for such covert activities。私营公司支持这些并非闻所未闻,但风险相当高, due to the potential impact a business could have from both the adversaries and the involved authorities。

3rd/4th方收集:简单来说,这可以被认为是前面讨论的“接管”操作的一个步骤。这里操作不仅涉及接管对手的基础设施,而且使用它来收集该基础设施有权访问的数据。例如,你可能已经接管了一个命令与控制服务器,并在那里发现了一些威胁行为者使用的服务器的VPN连接。你使用它们来访问和收集 intelligence 和/或破坏他们的操作。那也可能在另一侧 multiple levels。例如,使用C&C在受感染的主机上发送命令(如果对手系统被感染)并在那里也收集数据(或执行其他行动)。

  • 进攻性行动:在多个层面上利用对手基础设施,使用接管的系统掩盖你的活动。这可以用于任何事情,从 intelligence collection 到 disruption, degradation, denial等。
  • 复杂度:高
  • 业务风险:高。那些操作通常限于国家行为者,他们有 dedicated resources for such covert activities。对于任何私营公司来说,尝试执行这将非常复杂和 risky,因为它涉及在多个层面上闯入系统。

CNE操作:这是 research to identify and exploit vulnerabilities in order to execute a Computer Network Exploitation (CNE) operation against an adversary。例如,在他们的恶意软件中找到一个软件漏洞,允许你接管他们的C&C,或识别他们操作主机上的错误配置,允许你渗透到其中等。这就是通常 known as hacking-back。

  • 进攻性行动:利用对手基础设施。这可以用于任何事情,从 intelligence collection 到 disruption, degradation, denial等。
  • 复杂度:高
  • 业务风险:高。那些操作通常限于国家行为者,他们有 dedicated resources for such covert activities。对于任何私营公司来说,尝试执行这将复杂和 risky,因为它涉及闯入系统。

自动化CNE:即通过自动化利用步骤来扩展“CNE操作”。也就是说,开发能力不仅利用 identified vulnerabilities in adversarial infrastructure,而且自动(或通过自动化 on-demand)利用所有现有和新部署的对手基础设施,无需(或 minimal)人工交互。

  • 进攻性行动:利用对手基础设施。这可以用于任何事情,从 intelligence collection 到 disruption, degradation, denial等。
  • 复杂度:高
  • 业务风险:高。那些操作通常限于国家行为者,他们有 dedicated resources for such covert activities。对于任何私营公司来说,尝试执行这将复杂和 risky,因为它涉及闯入系统。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次