美國(guó)網(wǎng)絡(luò)空間攻擊與主動(dòng)防御能力解析
——用于漏洞利用的網(wǎng)空攻擊裝備

◎安天研究院

上一期中，我們對(duì)美國(guó)國(guó)家安全局（NSA）和中央情報(bào)局（CIA）用于實(shí)現(xiàn)持久化控制的網(wǎng)空攻擊性軟硬件裝備進(jìn)行了展開(kāi)介紹，呈現(xiàn)了美方對(duì)各類(lèi)網(wǎng)絡(luò)設(shè)備以及服務(wù)器與終端節(jié)點(diǎn)全方位覆蓋的持久化能力。在本期中，我們將對(duì)美方用于實(shí)現(xiàn)漏洞利用的網(wǎng)空攻擊裝備進(jìn)行介紹，揭示出美方豐富的漏洞儲(chǔ)備及強(qiáng)大的漏洞利用能力。

根據(jù)我國(guó)《信息安全技術(shù)安全漏洞等級(jí)劃分指南》，漏洞即計(jì)算機(jī)信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、運(yùn)行等過(guò)程中，有意或無(wú)意產(chǎn)生的缺陷。漏洞一旦被惡意主體所利用，就會(huì)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全造成損害，或者干擾系統(tǒng)正常運(yùn)行，或者非法控制系統(tǒng)并實(shí)現(xiàn)包括提升權(quán)限、橫向移動(dòng)、持久化等操作。從信息技術(shù)開(kāi)發(fā)與運(yùn)維的質(zhì)量控制角度來(lái)看，隨著技術(shù)快速變得復(fù)雜化，軟硬件產(chǎn)品存在漏洞的情況將會(huì)變得日益失控。在全球范圍內(nèi)，每年人們都會(huì)從不同的平臺(tái)、系統(tǒng)和軟件中挖掘出數(shù)量驚人的漏洞。有些漏洞被公開(kāi)披露，由相關(guān)廠商發(fā)布補(bǔ)丁，將漏洞修復(fù)。而另一些漏洞的發(fā)現(xiàn)者則不想公開(kāi)漏洞，而是將其隱藏起來(lái)，用于其他目的，這其中就包括美國(guó)的情報(bào)部門(mén)。

2017年11月15日，美國(guó)白宮向公眾發(fā)表了政府關(guān)于安全漏洞公平裁決程 序（Vulnerabilities Equities Process,VEP）的最新政策信息。VEP涉及的部門(mén)包括美國(guó)國(guó)防部（包含NSA）、CIA、國(guó)土安全部（DHS）等10個(gè)美國(guó)機(jī)構(gòu)，用于決策NSA和其他政府機(jī)構(gòu)發(fā)現(xiàn)的硬件、軟件、網(wǎng)絡(luò)設(shè)備和工業(yè)控制系統(tǒng)組件中哪些漏洞可以發(fā)布給美國(guó)公司以進(jìn)行漏洞修復(fù)，哪些漏洞仍作為機(jī)密以供情報(bào)和執(zhí)法部門(mén)在未來(lái)的行動(dòng)中使用。

根據(jù)斯諾登及影子經(jīng)紀(jì)人曝光的資料來(lái)看，NSA具有大量的零日漏洞（從未公開(kāi)披露的漏洞）儲(chǔ)備。2017年4月14日，影子經(jīng)紀(jì)人組織曝光了一批NSA的網(wǎng)空攻擊裝備與相關(guān)漏洞的資料。其中的Fuzzbunch是針對(duì)Windows操作系統(tǒng)的漏洞利用平臺(tái)，能夠向目標(biāo)主機(jī)植入有效載荷，在植入的過(guò)程中可直接內(nèi)存執(zhí)行，不需要生成實(shí)體文件。平臺(tái)中還包含數(shù)個(gè)針對(duì)特定類(lèi)型目標(biāo)，并且可以直接使用的漏洞，包括“永恒之藍(lán)”（EternalBlue）、“永恒浪漫”（Eternalromance）等。該攻擊平臺(tái)泄露后，其中的永恒之藍(lán)漏洞被“魔窟”（WannaCry）勒索軟件利用，肆虐全球，之后的“必加”（Petya）和“壞兔子”（Bad Rabbit）勒索軟件也同樣利用該漏洞進(jìn)行傳播。永恒之藍(lán)漏洞僅是眾多泄露漏洞中的一個(gè)，其他永恒系列漏洞及其利用工具可能具有同等威脅能力。從泄露的資料來(lái)看，這些攻擊裝備是NSA幾年前開(kāi)發(fā)的，其漏洞儲(chǔ)備和相關(guān)的裝備能力可見(jiàn)一斑。

相比于NSA，CIA的漏洞利用能力也絲毫不遜色。2017年維基解密披露了名為“7號(hào)軍火庫(kù)”（Vault 7）的一系列CIA網(wǎng)空攻擊裝備的相關(guān)文檔，其中的“櫻花盛開(kāi)”（Cherry Blossom）具有利用漏洞功能。Cherry Blossom是一款在目標(biāo)網(wǎng)絡(luò)上實(shí)現(xiàn)監(jiān)控的工具集，針對(duì)大量主流品牌網(wǎng)絡(luò)設(shè)備，尤其是無(wú)線網(wǎng)絡(luò)設(shè)備。一旦在目標(biāo)網(wǎng)絡(luò)設(shè)備植入，就可以對(duì)接入該設(shè)備的用戶(hù)設(shè)備執(zhí)行中間人攻擊，將惡意內(nèi)容注入到數(shù)據(jù)流中，以利用目標(biāo)用戶(hù)計(jì)算機(jī)上應(yīng)用程序或操作系統(tǒng)中的漏洞，實(shí)現(xiàn)對(duì)目標(biāo)用戶(hù)計(jì)算機(jī)的控制。

Vault 7 中的“艾爾莎”（Elsa）和“法外之地”（OutLaw Country）則從另一個(gè)方面體現(xiàn)了CIA強(qiáng)大的漏洞利用能力。Elsa是一款利用Wi-Fi信號(hào)進(jìn)行定位的惡意軟件，針對(duì)Windows操作系統(tǒng)的筆記本電腦，通過(guò)植入設(shè)備周?chē)腤i-Fi信號(hào)確定位置。Elsa雖然本身并沒(méi)有漏洞利用功能，但是其獲取的數(shù)據(jù)需要依靠CIA利用漏洞從目標(biāo)設(shè)備中檢索日志文件的方式取回。OutLaw Country是針對(duì)Linux操作系統(tǒng)的惡意軟件，允許將目標(biāo)計(jì)算機(jī)上的所有出站網(wǎng)絡(luò)流量重定向到CIA控制的機(jī)器。OutLaw Country本身同樣不具備漏洞利用功能，但其包含一個(gè)能夠在Linux目標(biāo)上創(chuàng)建隱藏的具有網(wǎng)絡(luò)過(guò)濾的內(nèi)核模塊，該內(nèi)核模塊需要通過(guò)漏洞利用注入到目標(biāo)操作系統(tǒng)中。

除以上裝備外，NSA還開(kāi)發(fā)了一系列漏洞利用工具，包括針對(duì)Firefox的漏洞利用工具FINKDIFFERENT（FIDI）、 針 對(duì) Juniper的 漏 洞 利用工具ZESTYLEAK、針對(duì)Dell PowerEdge服務(wù)器的BIOS漏洞利用工 具DEITYBOUNCE等，Vault 7中還包括一系列漏洞發(fā)現(xiàn)和漏洞利用工具，包括自動(dòng)化的可利用漏洞識(shí)別工具CRUCIBLE、針對(duì)Android系統(tǒng)進(jìn)行漏洞發(fā)現(xiàn)的瀏覽器插件AngerManagement、針對(duì)Unix系統(tǒng)的漏洞利用工具BaldEagle、針對(duì)移動(dòng)操作系統(tǒng)瀏覽器的漏洞利用工具HAMR等，部分裝備的具體功能在已披露的材料中并未介紹。

無(wú)論是斯諾登、影子經(jīng)紀(jì)人、還是維基解密的披露，都只是NSA和CIA龐大武器裝備庫(kù)的冰山一角。雖然部分漏洞或相關(guān)工具的詳細(xì)功能還不得而知，但就目前披露的資料看，美方無(wú)論在漏洞儲(chǔ)備的數(shù)量、質(zhì)量，還是在漏洞針對(duì)目標(biāo)的廣泛性上，同樣呈現(xiàn)出了全平臺(tái)、全能力覆蓋的特點(diǎn)。NSA、CIA利用其持有的覆蓋各類(lèi)設(shè)備、平臺(tái)、系統(tǒng)、軟件的零日漏洞對(duì)各類(lèi)高價(jià)值目標(biāo)實(shí)施網(wǎng)絡(luò)空間作業(yè)，有效支撐了美方的計(jì)算機(jī)網(wǎng)絡(luò)利用（CNE）和計(jì)算機(jī)網(wǎng)絡(luò)攻擊（CNA）。伊朗核設(shè)施被攻擊的“震網(wǎng)”（Stuxnet）事件就是一個(gè)典型的例子，在攻擊行動(dòng)中，攻擊者一共使用了5個(gè)Windows的零日漏洞和1個(gè)西門(mén)子的零日漏洞，以一種看似近乎揮霍實(shí)則精妙組合利用零日漏洞的方式，實(shí)現(xiàn)了通過(guò)網(wǎng)絡(luò)空間作業(yè)對(duì)伊朗核設(shè)施造成物理破壞的效果，幾乎永久地遲滯了伊朗核計(jì)劃，達(dá)成了美方的戰(zhàn)略意圖。從漏洞利用角度來(lái)看，“震網(wǎng)”行動(dòng)體現(xiàn)出了從技術(shù)層面零日漏洞到戰(zhàn)略層面壓制優(yōu)勢(shì)的價(jià)值轉(zhuǎn)換。

對(duì)于我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)來(lái)說(shuō)，防御體系建設(shè)必須對(duì)標(biāo)高能力對(duì)手的攻擊能力，必須建立有效的敵情想定，以對(duì)手的能力來(lái)驅(qū)動(dòng)防御能力的演進(jìn)。而從敵情想定的視角看，我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)現(xiàn)狀不容樂(lè)觀。一方面，由于對(duì)物理隔離的“盲目自信”，由于運(yùn)維水平局限性而不得不在升級(jí)修補(bǔ)與保障運(yùn)行間“二選一”，由于缺少對(duì)供應(yīng)鏈的積極管理而造成對(duì)補(bǔ)丁的“盲目不信任”，以及由于安全防御運(yùn)行能力不足導(dǎo)致未能對(duì)漏洞進(jìn)行緩解防護(hù)等情況，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施依然存在大量處于敞口暴露狀態(tài)的陳舊漏洞，這類(lèi)漏洞極容易被攻擊利用，給攻擊者留下了巨大的可乘之機(jī)；另一方面，大量關(guān)鍵信息基礎(chǔ)設(shè)施依然沒(méi)有建立動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系，而僅靠單一或零散的安全手段很難有效應(yīng)對(duì)零日漏洞的利用。這就造成了關(guān)鍵信息基礎(chǔ)設(shè)施不僅難以應(yīng)對(duì)高能力對(duì)手利用零日漏洞的攻擊，甚至較低能力對(duì)手利用陳舊漏洞依然能夠?qū)ξ曳疥P(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行持續(xù)入侵的現(xiàn)狀，這種情況已經(jīng)被WannaCry、白象、海蓮花等事件的事實(shí)情況所證實(shí)?？陀^來(lái)看，目前存在著“漏洞研究方面接近國(guó)際水平，漏洞防護(hù)方面卻難以做到有效自?！钡摹暗箳焓健北粍?dòng)局面。

為了在網(wǎng)絡(luò)空間防御方面轉(zhuǎn)變這種被動(dòng)局面，一方面必須建立并落實(shí)資產(chǎn)管理、漏洞管理、漏洞分析、補(bǔ)丁分析、補(bǔ)丁驗(yàn)證等全方位的安全運(yùn)行機(jī)制，樹(shù)立“關(guān)鍵信息基礎(chǔ)設(shè)施上不允許存在敞口漏洞”的準(zhǔn)則，解決如何給已發(fā)現(xiàn)漏洞打補(bǔ)丁的問(wèn)題，以及解決如何給無(wú)法修補(bǔ)漏洞配備有效緩解防護(hù)措施的問(wèn)題；另一方面，需要通過(guò)將網(wǎng)絡(luò)安全能力與信息技術(shù)基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行深度結(jié)合并實(shí)現(xiàn)全面覆蓋，依托動(dòng)態(tài)綜合的防御體系應(yīng)對(duì)利用零日漏洞的高水平攻擊行動(dòng)。例如：對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中的系統(tǒng)、軟件等進(jìn)行安全配置加固，收縮攻擊面，減小漏洞被利用的可能；建立全面覆蓋的縱深防御體系，增加發(fā)現(xiàn)威脅行為的機(jī)會(huì)；落實(shí)通過(guò)情報(bào)驅(qū)動(dòng)的態(tài)勢(shì)感知體系，積極發(fā)現(xiàn)威脅，進(jìn)行威脅獵殺，及時(shí)緩解攻擊行動(dòng)的影響，降低損失等。

在下一期，我們將繼續(xù)關(guān)注美國(guó)網(wǎng)空攻擊裝備體系，展現(xiàn)美國(guó)在其他方面的網(wǎng)空攻擊作業(yè)能力，敬請(qǐng)期待。