◎浙江省公安廳網(wǎng)安總隊(duì)總工程師 蔡林

自上世紀(jì)80年代第一個計算機(jī)病毒問世以來，人類與惡意代碼的抗?fàn)幰堰_(dá)30余年，且呈現(xiàn)出愈演愈烈的趨勢。惡意代碼由最初的黑客炫技、惡作劇，不斷發(fā)展成為現(xiàn)今政治干涉、經(jīng)濟(jì)竊密、軍事偵察等各領(lǐng)域的重要工具，表現(xiàn)出的破壞力愈發(fā)難以控制。2017年初，美國安全公司FireEye發(fā)布報告稱，擁有俄羅斯政府或軍方背景的黑客組織APT28和APT29，采用系列工具入侵美國，竊取情報并干擾美國大選。而2017年最大的網(wǎng)絡(luò)安全事件來源于一款名為WannaCry的勒索軟件，被稱來自美國網(wǎng)絡(luò)武器庫，其入侵了世界范圍內(nèi)的數(shù)十萬臺計算機(jī)并加密其中的文件，給各行各業(yè)造成了巨大的影響。惡意代碼正在涉足人類社會的經(jīng)濟(jì)領(lǐng)域和政治領(lǐng)域，并逐漸成為目標(biāo)涵蓋物理介質(zhì)到意識形態(tài)領(lǐng)域的全方位戰(zhàn)略武器，其影響之深遠(yuǎn)令人堪憂，成為“構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”的最直接威脅?！按蜩F還要自身硬”，作為“構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”的倡導(dǎo)者和世界互聯(lián)網(wǎng)大會的東道主，認(rèn)清當(dāng)前網(wǎng)絡(luò)安全威脅的最新特征，梳理其背后的黑客組織，有針對性地從技術(shù)、管理、法規(guī)等各方面，改進(jìn)提升對惡意代碼的防范與響應(yīng)，是以實(shí)際行動維護(hù)網(wǎng)絡(luò)空間和平發(fā)展，讓網(wǎng)絡(luò)空間成為13億多中國人民乃至世界人民福祉的最扎實(shí)行動。

一、當(dāng)前安全威脅的特征

2017年是惡意代碼肆意蔓延的一年，從APT28和APT29，到影響了全世界的勒索軟件WannaCry，再到Petya，每一次重大惡意代碼安全事件都在影響著全球的政治、經(jīng)濟(jì)、軍事等各個領(lǐng)域。惡意代碼已經(jīng)成為了影響意識形態(tài)的網(wǎng)絡(luò)武器，當(dāng)前網(wǎng)絡(luò)空間安全形勢嚴(yán)峻，安全威脅呈現(xiàn)許多新的特征。

（一）影響范圍廣

2017年5月12日，一款勒索比特幣的病毒軟件WannaCry在全球范圍內(nèi)爆發(fā)，而這種病毒軟件使用的是美國國家安全局NSA發(fā)布的Windows危險漏洞“永恒之藍(lán)”。這款勒索軟件可以說是近年來影響最大的病毒軟件，至少150個國家、30萬名用戶中招，造成的損失超過了80億美元，影響到了金融、能源、醫(yī)療等眾多行業(yè)，中國部分Windows操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當(dāng)其沖，受害嚴(yán)重，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計文檔被鎖定加密。部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密，導(dǎo)致職員無法正常工作，影響巨大。

據(jù)調(diào)查，勒索者源頭來自于暗網(wǎng)，其攻擊方法具備廣域性、兼容性和多語言支持，各個領(lǐng)域各個行業(yè)都遭受影響，例如政府、銀行、機(jī)場、車站、郵政、醫(yī)院等部門的前端業(yè)務(wù)終端、后臺數(shù)據(jù)庫系統(tǒng)等都可能遭受攻擊，甚至一些國安、公安系統(tǒng)都遭到入侵威脅。勒索軟件利用美國國家安全局黑客武器庫泄露的Eternal Blue（永恒之藍(lán)）發(fā)起病毒攻擊。遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用黑客工具包有關(guān)。其中Eternal Blue模塊是SMB 漏洞利用程序，可以攻擊開放了 445 端口的 Windows 機(jī)器，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。 蠕蟲軟件正是利用 SMB服務(wù)器漏洞，通過2008 R2滲透到未打補(bǔ)丁的Windows XP版本計算機(jī)中，實(shí)現(xiàn)大規(guī)模迅速傳播。一旦局域網(wǎng)中一臺計算機(jī)受攻擊，蠕蟲會迅速尋找其他有漏洞的電腦并發(fā)起攻擊。在國內(nèi)，由于校園網(wǎng)沒有關(guān)閉445端口的特殊情況，大量學(xué)生電腦遭到攻擊，而很多學(xué)生負(fù)擔(dān)不起高額的勒索費(fèi)用，導(dǎo)致大量校園網(wǎng)用戶的文件資料失效。

（二）網(wǎng)絡(luò)攻擊的門檻和成本降低

惡意代碼開源，或利用開源代碼（包括漏洞的shellcode、POC、EXP等）快速構(gòu)建惡意代碼將在未來層出不斷?，F(xiàn)在在黑市和線上論壇中，任何人都可以下載和利用工具從任何地方發(fā)起攻擊。甚至個人信息、用戶憑證等均可以在暗網(wǎng)的黑產(chǎn)鏈中輕易獲取。

暗影經(jīng)紀(jì)人（Shadow Brokers）是在黑客軍火商中，“商業(yè)模式”最為出眾的一個。他們經(jīng)常販賣高級的攻擊武器，當(dāng)然也包括重要的世界軍政信息。暗影經(jīng)紀(jì)人有能力讓他的客戶像依賴毒品一樣依賴自己。因?yàn)樗麄兺鶗诟偁帉κ种g販賣武器，就像瑞典在二戰(zhàn)時期所做的那樣。所有客戶在發(fā)現(xiàn)對手也掌握了和自己一樣的攻擊能力之后，都會成為暗影經(jīng)紀(jì)人的回頭客，向他們訂購更新的裝備。

去年，暗影經(jīng)紀(jì)人突然在Tunblr、Github 上掛出一些 NSA 的內(nèi)部資料和“方程組”使用的攻擊工具，這些足以給世界巨大的震撼。因?yàn)檫@些數(shù)據(jù)看起來非常像是 NSA 的內(nèi)部數(shù)據(jù)；而這些攻擊工具代碼之精巧，招數(shù)之奇幻，讓人不得不相信這些數(shù)據(jù)正是來自世界上最先進(jìn)的黑客組織——“方程組”，而前文提到的“永恒之藍(lán)”便出自其中。

（三）智能時代針對基礎(chǔ)設(shè)施的攻擊更加廣泛

物聯(lián)網(wǎng)正在取代手機(jī)作為網(wǎng)絡(luò)安全新興的關(guān)注領(lǐng)域，越來越多的網(wǎng)絡(luò)攻擊，尤其是apt攻擊將攻擊目標(biāo)指向關(guān)鍵基礎(chǔ)設(shè)施。

《紐約時報》和彭博7月份透露,聯(lián)邦調(diào)查局和國土安全部發(fā)布了一份聯(lián)合報告稱：美國的制造工廠、核電站和其他能源設(shè)施正遭受網(wǎng)絡(luò)攻擊的威脅。此次襲擊至少攻擊了美國十幾家電力公司, 包括在堪薩斯州的 Wolf Creek核設(shè)施。美國能源部表示, 它正在與受影響的公司合作, 并指出似乎只有行政和商業(yè)網(wǎng)絡(luò)受到影響, 控制能源基礎(chǔ)設(shè)施的系統(tǒng)并未受影響。

此次攻擊者向企業(yè)的工程師發(fā)送惡意電子郵件, 目的是獲取用戶憑證，并獲取網(wǎng)絡(luò)訪問權(quán)限。FireEye的關(guān)鍵基礎(chǔ)設(shè)施的首席分析師Sean McBride也發(fā)表了相應(yīng)觀點(diǎn)。黑客用了“水坑”和中間人 (MitM) 攻擊，而這次攻擊行動同時還針對了世界其他地區(qū)的政府網(wǎng)站的用戶, 某些被感染的文件與能源部門并沒有明顯的聯(lián)系。思科Talos的研究人員一直在監(jiān)控這些攻擊, 并分析了黑客使用的一些惡意的 word 文檔，他們則注意到這次針對世界各地關(guān)鍵基礎(chǔ)設(shè)施公司的攻擊主要目標(biāo)似乎還是美國和歐洲。Claroty 的創(chuàng)始人Galina Antova則相信這次攻擊的主要目的是竊取關(guān)鍵基礎(chǔ)設(shè)施的信息，并為進(jìn)一步獲取其控制系統(tǒng)的訪問權(quán)準(zhǔn)備。

“模板注入”并非很新的攻擊技術(shù)，而這次能做歐美基礎(chǔ)設(shè)施企業(yè)攻擊得手，也說明目前關(guān)鍵基礎(chǔ)設(shè)施企業(yè)和機(jī)構(gòu)的安全防護(hù)工作并非想象中的安全。

（四）網(wǎng)絡(luò)攻擊對政治等領(lǐng)域影響重大

浙江省網(wǎng)絡(luò)普及率達(dá)65.6%，居全國第五；全省接入商接入網(wǎng)站166.4萬家，排名全國第一。世界互聯(lián)網(wǎng)大會落戶浙江烏鎮(zhèn)，以實(shí)際行動維護(hù)網(wǎng)絡(luò)空間和平發(fā)展。圖為浙江烏鎮(zhèn)國際會展中心。

惡意代碼正在涉足人類社會的經(jīng)濟(jì)領(lǐng)域和政治領(lǐng)域，并逐漸成為目標(biāo)涵蓋物理介質(zhì)到意識形態(tài)領(lǐng)域的全方位戰(zhàn)略武器，其影響之深遠(yuǎn)令人堪憂。

卡塔爾通訊社網(wǎng)站及社交媒體帳號當(dāng)?shù)貢r間5月24日凌晨遭遇黑客攻擊，卡塔爾埃米爾（國家元首）塔米姆的社交媒體帳號也被黑客攻擊?？ㄋ柾ㄓ嵣缙煜戮W(wǎng)站深夜播發(fā)了據(jù)稱是塔米姆在出席卡塔爾軍校第8批畢業(yè)生典禮時的講話。

黑客通過卡塔爾通訊社網(wǎng)站和塔米姆的社交媒體帳號發(fā)布了與卡塔爾外交政策相悖的言論，稱卡塔爾支持伊朗和巴勒斯坦伊斯蘭抵抗運(yùn)動“哈馬斯”，以及卡塔爾同以色列關(guān)系密切，并批評了美國在卡塔爾的軍事存在，不滿重新與伊朗加深對抗等?？ㄋ柾ㄓ嵣缟缃幻襟w帳號還發(fā)文說，卡塔爾外交部要求將卡塔爾駐沙特、阿聯(lián)酋、科威特、巴林等國大使召回國內(nèi)，并同時驅(qū)逐這些國家駐卡塔爾的大使。

以上表態(tài)一出，立即被大量海灣阿拉伯國家媒體轉(zhuǎn)載，并引起部分國家的強(qiáng)烈反應(yīng)。25日，卡塔爾外交大臣穆罕默德在同索馬里外長共同會見記者時表示，針對卡塔爾通訊社網(wǎng)站的黑客攻擊是犯罪行為，將受到法律懲罰，目前尚未查清攻擊具體來自何處，有關(guān)此次黑客事件的調(diào)查正在進(jìn)行。

但一切為時已晚，早已經(jīng)對卡塔爾當(dāng)權(quán)政府諸多行徑不滿的以沙特為首的周邊海灣兄弟國家，以此為由，相繼宣布與其斷交，為中東局勢添加了新的不穩(wěn)定因素。

二、重大安全事件的背后組織

除了一些仍然不能確定來源的惡意代碼，本年度APT攻擊（高級持續(xù)性威脅，Advanced Persistent Threat）主要的來源是幾大著名惡意代碼組織，其中影響最大的包括以下幾個：

（一）APT28

近年來APT28組織卷土重來，其代表性兩大家族為Sofacy和Turla，Sofacy和Turla與APT28和APT29之間有著密切的關(guān)聯(lián)，自從去年美國大選被強(qiáng)烈關(guān)注之后，這兩個惡意家族依然活躍。今年3月份爆發(fā)之后，又分別利用了3個0DAY漏洞，前兩個是Microsoft Office的封裝 PostScript（EPS）（CVE-2017-0262，CVE-2017-0261）， 第 三個 是Microsoft Windows本地特權(quán)升級（LPE）（CVE-2017-0263）。其搭配的攻擊載荷分別為Gamefish和Shirime。當(dāng)然，Sofacy也在不斷改變攻擊策略，第一項(xiàng)技術(shù)是在Microsoft Windows中使用內(nèi)置的“certutil”實(shí)用程序來提取宏中的硬編碼有效載荷。第二種技術(shù)是將Base64編碼的有效載荷嵌入到惡意文檔的EXIF元數(shù)據(jù)中。

（二）方程式組織

方程式的攻擊代碼以其復(fù)雜代碼模塊和精密的配合方式而讓人驚嘆，其使用的Gray Lambert網(wǎng)絡(luò)滲透工具，能夠通過廣播，多播和單播命令在網(wǎng)絡(luò)上協(xié)調(diào)多個嗅探器，從而允許攻擊者在大量受感染機(jī)器的網(wǎng)絡(luò)中進(jìn)行外科手術(shù)式的精確操作。目前發(fā)現(xiàn)Lambert的兩個家族：Red Lambert和Brown Lambert，受害者主要集中在亞洲和中東地區(qū)。

（三）BlueNoroff

該組織的主要目標(biāo)是銀行金融系統(tǒng)、ATM機(jī)和其他類型的虛擬貨幣，4月份新推出了一個惡意軟件Manuscrypt，其主要目標(biāo)是韓國外交系統(tǒng)及使用虛擬貨幣和電子支付網(wǎng)站的用戶。最近，“Manuscrypt”已經(jīng)成為BlueNoroff小組以金融機(jī)構(gòu)為目標(biāo)的主要后門。

（四）BlackOasis

APT在中東地區(qū)同樣造成重大影 響，繼 CVE-2016-4117、CVE-2016-0984、CVE-2015-5119之后，BlackOasis進(jìn)而又轉(zhuǎn)向了CVE-2017-0199。據(jù)悉，為了有效進(jìn)行攻擊，該組織還利用了合法的監(jiān)視套件FinSpy。除BlackOasis以外，另一個名為“OilRig”的APT組織針對以色列的許多組織也發(fā)起了攻擊，帶來了不小的憂慮和恐慌。

三、對惡意代碼的防范與響應(yīng)

（一）惡意代碼追蹤溯源

全球的許多著名惡意代碼都來源于一些著名的黑客組織，對惡意代碼進(jìn)行同源性分析能對惡意代碼進(jìn)行追本溯源，分析攻擊來源并進(jìn)行反擊。但是惡意代碼的同源性分析目前仍然是一個國際性難題。

以美國大選中曝光的惡意軟件為例，將其與烏克蘭電網(wǎng)事件的惡意軟件進(jìn)行同源性分析。烏克蘭停電事件在2016年初引發(fā)了全球范圍內(nèi)關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全的大討論；美國大選中DNC遭受網(wǎng)絡(luò)攻擊的APT28事件則一定程度上改變了當(dāng)今世界最先進(jìn)國家的政治進(jìn)程；這兩次事件都指向俄羅斯的黑客組織，但是至今為止，各方都沒有拿出鐵證來證明攻擊來自俄羅斯。將烏克蘭停電事件涉及的BlackEnergy和攻擊美國民主黨全國選舉委員會的Delphocy進(jìn)行比較之后可以發(fā)現(xiàn)，兩個惡意軟件中某個重要的用戶函數(shù)的代碼結(jié)構(gòu)非常相似，而在這段代碼中實(shí)現(xiàn)功能的代碼段也極其相似。

此外惡意代碼利用Tor進(jìn)行傳輸將成為常態(tài)主流，通過網(wǎng)絡(luò)行為分析將更加難以追蹤、溯源和阻斷。因此，研究Tor或新的有效檢測方法也十分必要。

（二）惡意代碼家族的研究意義重大

惡意代碼開源，或利用開源代碼（包括漏洞的shellcode、POC、EXP等）快速構(gòu)建惡意代碼將在未來層出不斷，現(xiàn)有信息基礎(chǔ)設(shè)施將面臨越來越大的運(yùn)維和應(yīng)急響應(yīng)壓力。

追蹤WannaCry和Petya的來源是一個國際性難題，目前為止，沒有人能夠找到WannaCry、Petya與其他惡意軟件之間的重要代碼共享。當(dāng)然，也有諸多嘗試，有研究聲稱朝鮮需對WannaCry負(fù)責(zé)，也有研究表示Petya所使用的擴(kuò)展名列表非常類似于BlackEnergy 的 KillDisk 勒索。有研究發(fā)現(xiàn)Petya和Killdisk的加密組件有相似之處，同是出于TeleBots 所為。而TeleBots 在攻擊的最后階段總是使用KillDisk 惡意軟件來覆蓋受害者磁盤上具有特定文件擴(kuò)展名的文件。

來自相同的組織或基于同一段開源代碼開發(fā)的惡意軟件，通常在行為等方面有著一定的相似性，將相似的惡意軟件歸并為同一家族，并提取惡意軟件家族的基因，對惡意軟件的檢測和追蹤溯源有著重要的意義。因此，基于惡意代碼家族基因檢測來構(gòu)建新型快速的惡意軟件發(fā)現(xiàn)和應(yīng)急響應(yīng)機(jī)制十分必要。

（三）安全防護(hù)機(jī)制亟待升級

殺軟、防火墻、入侵檢測等傳統(tǒng)的安全防護(hù)設(shè)備，本質(zhì)上都是“事后響應(yīng)”，防護(hù)能力在層出不窮的網(wǎng)絡(luò)安全威脅面前將逐漸弱化，且呈加速下降趨勢；因此，研究新型安全防護(hù)產(chǎn)品和機(jī)制十分必要；網(wǎng)絡(luò)安全問題遍布全球，毫無征兆，它不僅僅是某個國家的問題，更是全世界面臨的國際性問題。各國各地區(qū)的相關(guān)政策法規(guī)有所不同，處理網(wǎng)絡(luò)安全犯罪的方法也有所區(qū)別，建立有效的國際協(xié)作機(jī)制是有效追蹤和處置網(wǎng)絡(luò)空間犯罪的當(dāng)務(wù)之急。同時，由于大多數(shù)國家對網(wǎng)絡(luò)安全犯罪的響應(yīng)能力還處于比較低的水平，安全防范能力還未得到有效保證，網(wǎng)絡(luò)犯罪比現(xiàn)實(shí)社會犯罪代價更低而越發(fā)猖獗，因此，先進(jìn)而系統(tǒng)性的網(wǎng)絡(luò)安全技術(shù)是最終完善和保證網(wǎng)絡(luò)用戶信息安全的重要保證。

由此可知，國際協(xié)作機(jī)制的完善和先進(jìn)防范能力的構(gòu)建是有效阻止網(wǎng)絡(luò)空間安全問題的兩把金鑰匙，需要得到全球各國政府和全體網(wǎng)絡(luò)用戶的共同重視。

四、結(jié)束語

惡意代碼產(chǎn)生的30余年來，由原來的黑客炫技、惡作劇，進(jìn)而發(fā)展成為經(jīng)濟(jì)犯罪、干涉政治的工具。而現(xiàn)在，網(wǎng)絡(luò)攻擊的門檻和成本正在降低，現(xiàn)在在黑市和線上論壇中，任何人都可以下載和利用工具從任何地方發(fā)起攻擊。甚至個人信息、用戶憑證等均可以在暗網(wǎng)的黑產(chǎn)鏈中輕易獲取。處置網(wǎng)絡(luò)犯罪的國際協(xié)作尚未完善建立，但網(wǎng)絡(luò)犯罪分子間的組織化和國際合作卻“方興未艾”。黑客們在“暗網(wǎng)”中“振臂一呼”就會圈粉無數(shù)，網(wǎng)絡(luò)的便捷性，正被犯罪分子充分利用。而得到政府和軍方支持的黑客組織也在世界各國活躍著。這一切成為“構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”最直接的威脅。除此之外，由于網(wǎng)絡(luò)恐怖主義危害性大，已經(jīng)成為全球網(wǎng)絡(luò)空間和平發(fā)展的最大威脅，“構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”成為世界各國尤為緊迫的需求。為此，有必要協(xié)同各國及各類國際組織，共享惡意代碼來源信息，提升對惡意代碼響應(yīng)的及時性，并攜手進(jìn)行針對性反擊。這應(yīng)該成為國際社會“構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”的重要一環(huán)。