参考这篇网络计算报告文章,标题为“‘黑鼠行动’对政府、企业进行了五年的长期攻击”
文章的悬崖注释是这样的:已经发现许多国家和大公司一直是长期、协同攻击的目标。这些信息是 McAfee 通过长期研究发现的。
文章中的一句话引起了我的兴趣(强调我的):
在一项名为 Operation Shady RAT(远程访问工具)的调查中, 研究人员获得了对其中一个攻击者的命令和控制 (C&C) 服务器的访问权限,并详细了解了受害者、被盗信息和使用的方法。
在 McAfee关于该操作的一份声明中,他们仅声明:
McAfee 已获得对入侵者使用的一台特定命令与控制服务器的访问权限。
但不要说他们是如何获得访问权限的。也许是在合法没收硬件之后。
研究人员如何获得对攻击者系统的控制权而不是他们自己触犯了法律?他们必须在这种事情上获得某种“授权”或法律上的祝福吗?在研究攻击者行为的过程中渗透攻击者的系统是否可以接受?
C6C 服务器通常是被黑客入侵的服务器,而不是攻击者租用的服务器。
对于公共组织,通常有 CERT(计算机应急响应小组)负责。例如,所有德国大学都有 DFN 证书。大公司往往与专门从事安全工作的公司签订支持合同。
因此,在发现安全漏洞后,可能会将服务器移交给安全组织以进行取证:了解攻击者是如何进入的,尝试估计他们造成的损害,他们有权访问的数据等。尽可能好的损坏,这对于防止被客户起诉可能尤为重要。
这是最常见的情况。措辞与我们的 CERT 前段时间收到一所大学的 C&C 服务器时所说的非常相似:“CERT 获得了对收集网址、用户名和密码列表的命令和控制服务器的访问权限。作为域以下条目由您负责,请使用以下帐户名称通知您的用户,他们的计算机已被感染”。
安全组织显然需要防止将注意力吸引到他们的客户身上,因为这意味着客户受到了成功的攻击。
C&C 可能是一个蜜罐,一个专门用于被攻击的服务器。我认为这不太可能,因为据说 c&c 服务器已活跃多年。
可能有法院命令没收服务器。但如果是这样,保安公司被传唤为专家证人,他们可能不会被允许公开。
安全公司可能获得了未经授权的访问。由于涉及巨大的法律风险,我认为这极不可能。
公司。它不情愿地主持了 C&C。最有可能将其交给他们的安全顾问进行损失评估。
既然我们都同意了,我们都在猜测......
有一个小而重要的趋势,其中白帽入侵或明显恶意的基础设施被视为允许的,必然是权宜之计,或者 - 呃 - “看起来是另一种方式”。
几个月前,当美国政府控制各种域名时,我们就看到了。我知道一些事件,值得尊敬的安全专业人员开始使用活跃的恶意僵尸网络玩谁控制僵尸网络。因此,我很乐意推测 McAfee 对 C&C 节点进行了未经授权的访问,这是他们调查僵尸网络的一部分。我没有确凿的数据或证据;这是纯粹的猜测。
您可以对此进行非常有趣的道德讨论:
我推测在 Shady RAT 的案例中,有人决定这样做,而回报超出了任何人的预期。(回到 2006 年?真的吗?)
官方声明称,“迈克菲已获得入侵者使用的一台特定命令与控制服务器的访问权限。” 考虑到替代方案(迈克菲变成黑帽)对他们公司的影响,他们似乎极有可能被有权访问 C&C 服务器的人带入分析。如果你把它作为一个工作理论,那么你需要质疑为什么没有提到这种关系,就像你一样。
一个可能的答案是,作为官方调查的一部分,这些人向 McAfee 寻求帮助。如果是这种情况,那么我们让 McAfee 指责中国基于另一个国家向他们提供数据的国家赞助的 APT 攻击。此 APT 的“高级”部分包括一个运行五年且未清除相关日志的单个服务器。
你的问题是一个突出的问题。很抱歉只提供猜测,但我的猜测是所有这些都将在短期内可用。