◎安天研究院

上一期中，我們對美國國家安全局（NSA）和中央情報局（CIA）用于實現(xiàn)持久化控制的網(wǎng)空攻擊性軟硬件裝備進行了展開介紹，呈現(xiàn)了美方對各類網(wǎng)絡(luò)設(shè)備以及服務(wù)器與終端節(jié)點全方位覆蓋的持久化能力。在本期中，我們將對美方用于實現(xiàn)漏洞利用的網(wǎng)空攻擊裝備進行介紹，揭示出美方豐富的漏洞儲備及強大的漏洞利用能力。

根據(jù)我國《信息安全技術(shù)安全漏洞等級劃分指南》，漏洞即計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷。漏洞一旦被惡意主體所利用，就會對計算機信息系統(tǒng)的安全造成損害，或者干擾系統(tǒng)正常運行，或者非法控制系統(tǒng)并實現(xiàn)包括提升權(quán)限、橫向移動、持久化等操作。從信息技術(shù)開發(fā)與運維的質(zhì)量控制角度來看，隨著技術(shù)快速變得復雜化，軟硬件產(chǎn)品存在漏洞的情況將會變得日益失控。在全球范圍內(nèi)，每年人們都會從不同的平臺、系統(tǒng)和軟件中挖掘出數(shù)量驚人的漏洞。有些漏洞被公開披露，由相關(guān)廠商發(fā)布補丁，將漏洞修復。而另一些漏洞的發(fā)現(xiàn)者則不想公開漏洞，而是將其隱藏起來，用于其他目的，這其中就包括美國的情報部門。

2017年11月15日，美國白宮向公眾發(fā)表了政府關(guān)于安全漏洞公平裁決程 序（Vulnerabilities Equities Process,VEP）的最新政策信息。VEP涉及的部門包括美國國防部（包含NSA）、CIA、國土安全部（DHS）等10個美國機構(gòu)，用于決策NSA和其他政府機構(gòu)發(fā)現(xiàn)的硬件、軟件、網(wǎng)絡(luò)設(shè)備和工業(yè)控制系統(tǒng)組件中哪些漏洞可以發(fā)布給美國公司以進行漏洞修復，哪些漏洞仍作為機密以供情報和執(zhí)法部門在未來的行動中使用。

根據(jù)斯諾登及影子經(jīng)紀人曝光的資料來看，NSA具有大量的零日漏洞（從未公開披露的漏洞）儲備。2017年4月14日，影子經(jīng)紀人組織曝光了一批NSA的網(wǎng)空攻擊裝備與相關(guān)漏洞的資料。其中的Fuzzbunch是針對Windows操作系統(tǒng)的漏洞利用平臺，能夠向目標主機植入有效載荷，在植入的過程中可直接內(nèi)存執(zhí)行，不需要生成實體文件。平臺中還包含數(shù)個針對特定類型目標，并且可以直接使用的漏洞，包括“永恒之藍”（EternalBlue）、“永恒浪漫”（Eternalromance）等。該攻擊平臺泄露后，其中的永恒之藍漏洞被“魔窟”（WannaCry）勒索軟件利用，肆虐全球，之后的“必加”（Petya）和“壞兔子”（Bad Rabbit）勒索軟件也同樣利用該漏洞進行傳播。永恒之藍漏洞僅是眾多泄露漏洞中的一個，其他永恒系列漏洞及其利用工具可能具有同等威脅能力。從泄露的資料來看，這些攻擊裝備是NSA幾年前開發(fā)的，其漏洞儲備和相關(guān)的裝備能力可見一斑。

相比于NSA，CIA的漏洞利用能力也絲毫不遜色。2017年維基解密披露了名為“7號軍火庫”（Vault 7）的一系列CIA網(wǎng)空攻擊裝備的相關(guān)文檔，其中的“櫻花盛開”（Cherry Blossom）具有利用漏洞功能。Cherry Blossom是一款在目標網(wǎng)絡(luò)上實現(xiàn)監(jiān)控的工具集，針對大量主流品牌網(wǎng)絡(luò)設(shè)備，尤其是無線網(wǎng)絡(luò)設(shè)備。一旦在目標網(wǎng)絡(luò)設(shè)備植入，就可以對接入該設(shè)備的用戶設(shè)備執(zhí)行中間人攻擊，將惡意內(nèi)容注入到數(shù)據(jù)流中，以利用目標用戶計算機上應(yīng)用程序或操作系統(tǒng)中的漏洞，實現(xiàn)對目標用戶計算機的控制。

Vault 7 中的“艾爾莎”（Elsa）和“法外之地”（OutLaw Country）則從另一個方面體現(xiàn)了CIA強大的漏洞利用能力。Elsa是一款利用Wi-Fi信號進行定位的惡意軟件，針對Windows操作系統(tǒng)的筆記本電腦，通過植入設(shè)備周圍的Wi-Fi信號確定位置。Elsa雖然本身并沒有漏洞利用功能，但是其獲取的數(shù)據(jù)需要依靠CIA利用漏洞從目標設(shè)備中檢索日志文件的方式取回。OutLaw Country是針對Linux操作系統(tǒng)的惡意軟件，允許將目標計算機上的所有出站網(wǎng)絡(luò)流量重定向到CIA控制的機器。OutLaw Country本身同樣不具備漏洞利用功能，但其包含一個能夠在Linux目標上創(chuàng)建隱藏的具有網(wǎng)絡(luò)過濾的內(nèi)核模塊，該內(nèi)核模塊需要通過漏洞利用注入到目標操作系統(tǒng)中。

除以上裝備外，NSA還開發(fā)了一系列漏洞利用工具，包括針對Firefox的漏洞利用工具FINKDIFFERENT（FIDI）、 針 對 Juniper的 漏 洞 利用工具ZESTYLEAK、針對Dell PowerEdge服務(wù)器的BIOS漏洞利用工 具DEITYBOUNCE等，Vault 7中還包括一系列漏洞發(fā)現(xiàn)和漏洞利用工具，包括自動化的可利用漏洞識別工具CRUCIBLE、針對Android系統(tǒng)進行漏洞發(fā)現(xiàn)的瀏覽器插件AngerManagement、針對Unix系統(tǒng)的漏洞利用工具BaldEagle、針對移動操作系統(tǒng)瀏覽器的漏洞利用工具HAMR等，部分裝備的具體功能在已披露的材料中并未介紹。

無論是斯諾登、影子經(jīng)紀人、還是維基解密的披露，都只是NSA和CIA龐大武器裝備庫的冰山一角。雖然部分漏洞或相關(guān)工具的詳細功能還不得而知，但就目前披露的資料看，美方無論在漏洞儲備的數(shù)量、質(zhì)量，還是在漏洞針對目標的廣泛性上，同樣呈現(xiàn)出了全平臺、全能力覆蓋的特點。NSA、CIA利用其持有的覆蓋各類設(shè)備、平臺、系統(tǒng)、軟件的零日漏洞對各類高價值目標實施網(wǎng)絡(luò)空間作業(yè)，有效支撐了美方的計算機網(wǎng)絡(luò)利用（CNE）和計算機網(wǎng)絡(luò)攻擊（CNA）。伊朗核設(shè)施被攻擊的“震網(wǎng)”（Stuxnet）事件就是一個典型的例子，在攻擊行動中，攻擊者一共使用了5個Windows的零日漏洞和1個西門子的零日漏洞，以一種看似近乎揮霍實則精妙組合利用零日漏洞的方式，實現(xiàn)了通過網(wǎng)絡(luò)空間作業(yè)對伊朗核設(shè)施造成物理破壞的效果，幾乎永久地遲滯了伊朗核計劃，達成了美方的戰(zhàn)略意圖。從漏洞利用角度來看，“震網(wǎng)”行動體現(xiàn)出了從技術(shù)層面零日漏洞到戰(zhàn)略層面壓制優(yōu)勢的價值轉(zhuǎn)換。

對于我國的關(guān)鍵信息基礎(chǔ)設(shè)施防護來說，防御體系建設(shè)必須對標高能力對手的攻擊能力，必須建立有效的敵情想定，以對手的能力來驅(qū)動防御能力的演進。而從敵情想定的視角看，我國的關(guān)鍵信息基礎(chǔ)設(shè)施防護現(xiàn)狀不容樂觀。一方面，由于對物理隔離的“盲目自信”，由于運維水平局限性而不得不在升級修補與保障運行間“二選一”，由于缺少對供應(yīng)鏈的積極管理而造成對補丁的“盲目不信任”，以及由于安全防御運行能力不足導致未能對漏洞進行緩解防護等情況，我國關(guān)鍵信息基礎(chǔ)設(shè)施依然存在大量處于敞口暴露狀態(tài)的陳舊漏洞，這類漏洞極容易被攻擊利用，給攻擊者留下了巨大的可乘之機；另一方面，大量關(guān)鍵信息基礎(chǔ)設(shè)施依然沒有建立動態(tài)綜合的網(wǎng)絡(luò)安全防御體系，而僅靠單一或零散的安全手段很難有效應(yīng)對零日漏洞的利用。這就造成了關(guān)鍵信息基礎(chǔ)設(shè)施不僅難以應(yīng)對高能力對手利用零日漏洞的攻擊，甚至較低能力對手利用陳舊漏洞依然能夠?qū)ξ曳疥P(guān)鍵信息基礎(chǔ)設(shè)施進行持續(xù)入侵的現(xiàn)狀，這種情況已經(jīng)被WannaCry、白象、海蓮花等事件的事實情況所證實?？陀^來看，目前存在著“漏洞研究方面接近國際水平，漏洞防護方面卻難以做到有效自?！钡摹暗箳焓健北粍泳置妗?/p>

為了在網(wǎng)絡(luò)空間防御方面轉(zhuǎn)變這種被動局面，一方面必須建立并落實資產(chǎn)管理、漏洞管理、漏洞分析、補丁分析、補丁驗證等全方位的安全運行機制，樹立“關(guān)鍵信息基礎(chǔ)設(shè)施上不允許存在敞口漏洞”的準則，解決如何給已發(fā)現(xiàn)漏洞打補丁的問題，以及解決如何給無法修補漏洞配備有效緩解防護措施的問題；另一方面，需要通過將網(wǎng)絡(luò)安全能力與信息技術(shù)基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)進行深度結(jié)合并實現(xiàn)全面覆蓋，依托動態(tài)綜合的防御體系應(yīng)對利用零日漏洞的高水平攻擊行動。例如：對關(guān)鍵信息基礎(chǔ)設(shè)施中的系統(tǒng)、軟件等進行安全配置加固，收縮攻擊面，減小漏洞被利用的可能；建立全面覆蓋的縱深防御體系，增加發(fā)現(xiàn)威脅行為的機會；落實通過情報驅(qū)動的態(tài)勢感知體系，積極發(fā)現(xiàn)威脅，進行威脅獵殺，及時緩解攻擊行動的影響，降低損失等。

在下一期，我們將繼續(xù)關(guān)注美國網(wǎng)空攻擊裝備體系，展現(xiàn)美國在其他方面的網(wǎng)空攻擊作業(yè)能力，敬請期待。