欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

如何检测用USB创建并进行类似Stuxnet传播的隐蔽网络

来源:本站整理 作者:佚名 时间:2017-07-25 TAG: 我要投稿


如今,为了保证信息安全,很多公司和政府机构都建有通信隔离网,或在不同网络之间使用受限数据。一般来说,这些计算机网络都是针对某些特定环境创建的,如工控系统、处理特殊数据的高安全环境或安全标准要求的网络系统等。近年的网络安全事件证明,震网病毒(Stuxnet)利用U盘创建隐蔽网络成功渗透进物理隔离的核电站中,该案例说明,不与网线或WIFI连接的物理隔离计算机网络并不就是安全的。接入某个网络的任何类型外部连接,都可能构成安全风险。本文通过分析利用USB设备创建的隐蔽网络可能性,对其检测和防护方法作出介绍。
网络连接方面存在的安全风险
就数据网络的安全性而言,大家趋向于使用以太网和WiFi等链路层连接来分析刻画网络。但有些企业网络远比这复杂,因此我们需要从多个角度来进行分析。
对数据网络的流量分析是了解企业网络环境的主要方式。另外,对一些提供重要服务或者承担关键作用的常用协议节点进行查找分析,也是一种有效可行的方法。根据以上描述可知,在不同准则和方法下,对网络的风险分析可以得到大量有用的数据信息。了解网络设置和节点的直观方法就是映射绘画出一副直观的网络图,因此,以风险分析为前提,对网络结构进行一些传导性测试显得必不可少。这些分析数据能让我们更好理解网络整体架构和其中存在的风险。

在风险消控、检测攻击和安全实施的网络分析方面,为了理解内部网络的不同边界,节点的表示和连接结构尤为重要。
更多的问题在于对网络架构的理解上。通常,网络被定义为由不同技术和协议互联的一组计算机。大多情况下,用户或网络系统管理员倾向于将不同组织架构下的计算机通过网线或WIFI进行连接,因而,将存在更多针对网络系统的接入风险。在此,我们需要深入讨论的是,如果一个组织机构未对USB设备的使用实施保护或限制措施,那么,将会面临隐蔽网络威胁。攻击者可以使用USB设备创建这类隐蔽网络,自由潜伏在物理或逻辑隔离的计算机间进行通信。
网络隔离和USB连接
可以从下例中理解用USB设备创建的隐蔽网络危害。假设某机构网络由3类VLAN组成,其中第一个VLAN包括:
计算机A、计算机B,通过VLAN互连
第二个VLAN包括:
计算机C、计算机D、计算机E,通过VLAN互连
第三个VLAN包括:
计算机F,与该VLAN内的其他计算机互连
从以下网络拓扑图可以看出,不同VLAN间的计算机是相互隔离的。但如果该机构员工使用USB设备来进行数据交换,那么数据信息很有可能会在不同VLAN计算机间传输。USB设备的接入本身就是一个安全威胁,攻击者可以利用这种方式在组织机构内部网络中创建一个不易被发现的隐蔽网络。

假设计算机F和计算机E用户正在使用USB设备进行数据交换,本质上来说,此时E、F两台计算机和USB设备之间就形成了一个隐蔽网络。可以用如下结构表示:

USB设备在操作系统中的连接情况
一个USB设备在不同主机之间进行交叉使用的情况,就类似于生物界的“授粉”(Pollination)现象。这种交叉感染的概念,同样适用于不同网络内不同主机间的USB混用。
当用户在计算机中接入USB设备时,Windows注册表会创建一系列键值。这些键值信息非常有用,比如,在取证分析中,可借此对信息泄露或威胁引入进行溯源。
存在于Windows系统注册表中的USBStor键值,用来保存USB设备插入到计算机时的相关信息。当某USB设备插入到某台主机中时,可以在USBStor键值中找到与这个USB设备相关的识别信息,这些信息包括:
设备名
设备类型(Class)
设备唯一标识符(ClassGUID)
硬件标识符
设备所提供的服务,如硬盘
驱动
其他信息
隐蔽连接:如何检测此类网络
在了解了操作系统对USB设备相关信息的保存方式之后,就可以知道哪些主机在共享使用USB设备。通过这种方式,我们可以用两个结点来表示两台主机,一条弧线表示两台主机之间的连接。由于通过隐蔽连接可以发现隐蔽网络,另外,结合从操作系统中获取的一些注册表相关信息,可以识别USB设备在不同主机间的接入顺序,以此可以描绘出更准确的隐蔽网络结构。
首先,为了实现自动化的隐蔽连接检测,可以使用如下方案:(红线表示脚本的传输执行,绿线表示脚本执行产生的数据)

在上图的内部域网络环境中,各个结点主机中的Script脚本程序能以多种方式被执行,而程序执行之后在主机中产生的数据,也将对内部域网络造成威胁。为了发现这些在实际生产环境中的隐蔽连接,在这里,我们具体来讨论以上隐蔽连接的一些检测技术,如:
WinRM
SMB(服务器消息块协议)
WMI
我们先来了解一下微软内置系统中面向对象的命令行工具 Powershell,它能提供与操作系统

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载