16、忍者战术在网络安全中的应用与启示

忍者战术在网络安全中的应用与启示

1. 忍者呼叫信号及其在网络中的应用

忍者行动中，团队协作时会使用呼叫信号（Call Signs）进行信息传递。当潜入敌方区域，首先要标记路线，告知盟友出口和逃生路径，成功潜入后，要避免己方误战。忍者团队常用的呼叫信号是一些物理标记，比如《Gunpo Jiyoshu》手册中提到的三种标记，这些标记能帮助忍者识别目标、指示路线、协调攻击等。而且，为防止被敌人识破，忍者会在任务前商定定制化的标记。

这些标记具有便携、一次性、易于部署和收回、放置在地面等特点，且对普通人来说不显眼，但对忍者而言却很容易识别。例如，用染色的米粒标记位置，不同颜色代表不同忍者；用折断的竹子指向特定路径；用小纸片标记要烧毁的房屋等。

在网络环境中，网络威胁行为者可能会借鉴忍者的呼叫信号技术。2016 年民主党全国委员会（DNC）被黑客攻击事件中，俄罗斯军事机构 GRU（APT28 或 FANCYBEAR）和安全机构 FSB（APT29 或 COZYBEAR）在同一网络和系统中行动，却未使用呼叫信号进行沟通，导致行动重复、出现异常，最终可能导致行动失败。这表明网络间谍组织有必要采用呼叫信号协议。

有效的网络呼叫信号可能具有以下特点：
- 随时间变化，如同忍者的标记。
- 嵌入无法被捕获和逆向工程的工具和恶意软件中，需要人工识别。
- 放置在重叠间谍组织肯定会发现的位置，如重要的主域控制器（DC）的内存中，以提高持久性和降低可检测性。

虽然目前尚不清楚具体哪些字符串或十六进制字节可作为标记，以及它们会存在于哪些缓存、临时表或内存位置，但网络安全行业已观察到一些恶意软件会留下特定文件或注册表键作为感染信号。防御者