◎安天研究院

上一期中，我們對美國國家安全局（NSA）和中央情報局（CIA）用于突破物理隔離的網(wǎng)空裝備進(jìn)行了介紹，展現(xiàn)了美國在攻擊性的網(wǎng)空作業(yè)中，對各類機(jī)構(gòu)的內(nèi)網(wǎng)體系，特別是對物理隔離網(wǎng)絡(luò)的穿透能力。在本期中，我們將對美方用于實(shí)現(xiàn)持久化控制的網(wǎng)空攻擊性軟硬件裝備進(jìn)行介紹，展現(xiàn)美方針對各類網(wǎng)絡(luò)設(shè)備以及服務(wù)器與終端節(jié)點(diǎn)做到全方位覆蓋的持久化能力。

持久化的目的是實(shí)現(xiàn)對目標(biāo)網(wǎng)絡(luò)設(shè)備或節(jié)點(diǎn)系統(tǒng)的持續(xù)控制，這既是進(jìn)行網(wǎng)絡(luò)情報獲取等攻擊性網(wǎng)空行動所依賴的基礎(chǔ)，也是開展積極防御反制威懾乃至實(shí)現(xiàn)網(wǎng)絡(luò)戰(zhàn)攻擊的重要前提。傳統(tǒng)戰(zhàn)爭中，是在戰(zhàn)爭開始之時將作戰(zhàn)人員和裝備投入戰(zhàn)場，適應(yīng)戰(zhàn)場以便在戰(zhàn)爭中獲得主動。而在網(wǎng)絡(luò)空間中，攻擊方可以在網(wǎng)絡(luò)戰(zhàn)開始前的數(shù)天、數(shù)月甚至數(shù)年就進(jìn)行“戰(zhàn)場預(yù)制”，通過對內(nèi)網(wǎng)的穿透能力和對生產(chǎn)、運(yùn)營商、物流鏈等相關(guān)環(huán)節(jié)的滲透，在網(wǎng)絡(luò)戰(zhàn)爭開始前已經(jīng)按照于己方有利的方式，攻擊控制具有潛在戰(zhàn)略或戰(zhàn)術(shù)意義的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)系統(tǒng)，從而隱蔽地實(shí)現(xiàn)對網(wǎng)絡(luò)空間戰(zhàn)場陣地的預(yù)制改造。在戰(zhàn)爭開始時，就可以迅速地將攻擊載荷投遞至已被持久化控制的關(guān)鍵位置，或者通過被持久化控制的陣地節(jié)點(diǎn)間接對關(guān)鍵位置發(fā)起攻擊并投遞載荷，從而通過攻擊行動實(shí)現(xiàn)軍事作戰(zhàn)所需的網(wǎng)空攻擊效用。事實(shí)上，在現(xiàn)代網(wǎng)絡(luò)戰(zhàn)爭中，戰(zhàn)爭模式早已從戰(zhàn)時選取目標(biāo)開展攻擊的早期模式，轉(zhuǎn)變?yōu)閼?zhàn)時根據(jù)作戰(zhàn)需要，從已被持久化控制的網(wǎng)絡(luò)節(jié)點(diǎn)中挑選具有戰(zhàn)略或戰(zhàn)術(shù)意義的目標(biāo)，并展開組合攻擊行動的成熟模式。因此，在網(wǎng)絡(luò)空間的較量，對重要網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)系統(tǒng)進(jìn)行持續(xù)隱秘控制的持久化能力，已經(jīng)成為對敵方的重要的戰(zhàn)略優(yōu)勢。

在持久化這一問題上，美國一直秉承“持久化一切可以持久化的節(jié)點(diǎn)”的理念，將其作為一種重要的戰(zhàn)略資源儲備，為長期的信息竊取和日后可能的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。據(jù)斯諾登披露的NSA內(nèi)部文件顯示，對網(wǎng)絡(luò)的監(jiān)視僅僅是美國“數(shù)字戰(zhàn)爭戰(zhàn)略”中的“第0階段”，監(jiān)視的目的是檢測目標(biāo)系統(tǒng)的漏洞，這是執(zhí)行后續(xù)行動的先決條件。一旦“隱形持久化植入程序”滲入目標(biāo)系統(tǒng)，實(shí)現(xiàn)對目標(biāo)系統(tǒng)的“永久訪問”，那么“第3階段”就已經(jīng)實(shí)現(xiàn)，這一階段被稱為“主宰”，可見持久化能力的重要性。而這些都是為最終的網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。一旦在目標(biāo)系統(tǒng)達(dá)成持久化，攻擊者就能夠?qū)崿F(xiàn)隨時從監(jiān)視到攻擊行動的無縫切換，即由計算機(jī)網(wǎng)絡(luò)利用（即CNE）轉(zhuǎn)換為計算機(jī)網(wǎng)絡(luò)攻擊（即CNA），對目標(biāo)網(wǎng)絡(luò)或系統(tǒng)進(jìn)行破壞和摧毀。

談及持久化，不得不提“方程式”組織對于固件的持久化能力。2015年初卡巴斯基和安天先后披露一個活躍了近20年的攻擊組織——方程式組織，該組織不僅掌握大量的0day漏洞儲備，且擁有一套用于植入惡意代碼的網(wǎng)絡(luò)武器庫，其中最受關(guān)注、最具特色的攻擊武器是可以對數(shù)十種常見品牌硬盤實(shí)現(xiàn)固件植入的惡意模塊。依靠隱蔽而強(qiáng)大的持久化能力，方程式組織得以在十余年的時間里，隱秘地展開行動而不被發(fā)現(xiàn)。方程式組織被認(rèn)為和NSA有較大關(guān)聯(lián)。

“蛋奶酥槽”（SOUFFLETROUGH）工具集介紹

“給水槽”（FEEDTROUGH）工具集介紹

根據(jù)目前披露的文件顯示，NSA和CIA均開發(fā)了大量具有持久化能力的網(wǎng)絡(luò)攻擊裝備。NSA的相關(guān)裝備主要由特定入侵行動辦公室（TAO）下屬的先進(jìn)網(wǎng)絡(luò)技術(shù)組（ANT）開發(fā)。比較有代表性的裝備包括針對Juniper不同系列防火墻的工具集“蛋奶 酥 槽 ”（SOUFFLETROUGH） 和“給水槽”（FEEDTROUGH）、針對思科Cisco系列防火墻的“噴射犁”（JETPLOW）、針對華為路由器的“水源”（HEADWATER）、針對Dell服務(wù)器的“神明彈跳”（DEITYBOUNCE）、針對桌面和筆記本電腦的“盛怒的僧侶”（IRATEMONK）等。

SOUFFLETROUGH是一種通過植入BIOS實(shí)現(xiàn)持久化能力的惡意軟件，針對Juniper SSG 500和SSG 300（320M/350M/520/550/520M/550M）系列防火墻。它能夠向目標(biāo)注入數(shù)字網(wǎng)絡(luò)技術(shù)組（DNT）的植入物“香蕉合唱團(tuán)”（BANANAGLEE，功能尚不完全明確），并在系統(tǒng)引導(dǎo)時修改Juniper防火墻的操作系統(tǒng)。如果BANANAGLEE無法通過操作系統(tǒng)引導(dǎo)啟動，可以安裝駐留型后門（PBD）與BANANAGLEE的通信結(jié)構(gòu)協(xié)作，以便之后獲得完全訪問權(quán)。該P(yáng)BD能夠發(fā)出信標(biāo)并且是完全可配置的。如果BANANAGLEE已經(jīng)安裝于目標(biāo)防火墻，則SOUFFLETROUGH可以執(zhí)行遠(yuǎn)程升級。

JETPLOW是針對思科500系列PIX防火墻，以及大多數(shù)ASA防火墻（5505/5510/5520/5540/5550） 的 惡 意軟件，功能與SOUFFLETROUGH基本相同，能夠注入BANANAGLEE并安裝PBD。類似地，F(xiàn)EEDTROUGH針對Juniper Netscreen防火墻，能夠注入BANANAGLEE和另一款名為“興趣點(diǎn)泄露”（ZESTYLEAK，功能尚不完全明確）的惡意軟件。此外，還有一系列針對Juniper路由器的BIOS注入工具，包括“學(xué)院蒙塔納”（SCHOOLMONTANA）、“山脊蒙 塔納”（SIERRAMONTANA）和“灰泥蒙塔納”（STUCCOMONTANA）等，分別是針對Juniper J、Juniper M和Juniper S系列路由器，用以完成DNT相關(guān)植入程序的持久化。

HEADWATER是一個駐留型后門工具集，針對華為路由器。HEADWATER后門能夠通過遠(yuǎn)程運(yùn)營中心（ROC）遠(yuǎn)程傳輸?shù)侥繕?biāo)路由器。傳輸完成后，后門將在系統(tǒng)重啟后激活。一旦激活，ROC就能夠控制后門，捕獲并檢查通過主機(jī)路由器的所有IP數(shù)據(jù)包。HEADWATER是針對華為公司路由器的PBD的統(tǒng)稱，相關(guān)文件還提到，NSA和CIA曾發(fā)起聯(lián)合項目“渦輪熊貓”（TURBOPANDA）使用PBD來利用華為的網(wǎng)絡(luò)設(shè)備。

“噴射犁”（JETPLOW）工具集介紹

DEITYBOUNCE提供一個軟件應(yīng)用程序，利用主板的BIOS和系統(tǒng)管理模塊駐留在戴爾PowerEdge服務(wù)器中，操作系統(tǒng)加載時能夠周期性的執(zhí)行。該技術(shù)能夠影響多處理器系統(tǒng)（RAID硬件和Microsoft Windows 2000、2003和XP操作系統(tǒng)），針對戴爾PowerEdge 1850/2850/1950/2950服務(wù)器。通過遠(yuǎn)程訪問或物理訪問，ARKSTREAM在目標(biāo)機(jī)器上重新刷新BIOS，以植入DEITYBOUNCE及其有效載荷。

IRATEMONK通過注入硬盤驅(qū)動器固件，針對桌面和筆記本電腦提供持久化能力。通過主引導(dǎo)記錄（MBR）替代以獲得執(zhí)行。這種技術(shù)針對不使用磁盤陣列的系統(tǒng)，支持西部數(shù)據(jù)、希捷、邁拓、三星等品牌的硬盤，支持的文件系統(tǒng)格式包括FAT、NTFS、EXT3和UFS。通過遠(yuǎn)程訪問或物理訪問，將硬盤驅(qū)動固件發(fā)送至目標(biāo)機(jī)器，以植入IRATEMONK及其有效載荷。

根據(jù)維基解密披 露 的 CIA“Vault 7”文檔顯示，CIA同樣開發(fā)了大量具有持久化功能的網(wǎng)絡(luò)攻擊裝備，包括“暗物質(zhì) ”（DarkMatter）、“午夜之后”（A fterMidnight）和“天使之火”（AngelFire）等。

DarkMatter是一組針對蘋果主機(jī)和手機(jī)的惡意軟件和工具，能夠通過多種方式實(shí)現(xiàn)持久化，包括偽裝成雷靂接口轉(zhuǎn)換設(shè)備或進(jìn)行固件植入，可通過人力作業(yè)或物流鏈劫持實(shí)現(xiàn)。AfterMidnight是一個惡意代碼植入框架，能夠向目標(biāo)遠(yuǎn)程投放惡意軟件，其主程序具有持久化能力，能夠偽裝成Windows系統(tǒng)的.dll文件。AngelFire是一個針對Windows計算機(jī)的惡意代碼植入框架，能夠通過修改引導(dǎo)扇區(qū)的方式，在Windows系統(tǒng)中安裝持久化的后門。

通過以上介紹可以看出，美方的情報部門開發(fā)了大量針對各類網(wǎng)絡(luò)和終端設(shè)備的持久化工具，這既是美方“持久化一切可以持久化的節(jié)點(diǎn)”理念的體現(xiàn)和實(shí)踐基礎(chǔ)，也從一個側(cè)面反映了美方網(wǎng)絡(luò)空間攻擊裝備全平臺、全能力覆蓋的特點(diǎn)。

無論是NSA還是CIA的持久化裝備，其目的都是對關(guān)鍵網(wǎng)絡(luò)或系統(tǒng)實(shí)現(xiàn)長期、隱秘的控制，為持續(xù)的情報竊取和未來可能的攻擊行動、甚至發(fā)動網(wǎng)絡(luò)戰(zhàn)做準(zhǔn)備。在這種情況下，我們應(yīng)該認(rèn)識到，關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)應(yīng)該不僅僅是數(shù)據(jù)的保護(hù)，更重要的是要確保對網(wǎng)絡(luò)與系統(tǒng)控制權(quán)的掌控。攻擊者一旦獲得了在關(guān)鍵信息基礎(chǔ)設(shè)施中的“主宰”能力，能夠?qū)崿F(xiàn)隨時從CNE到CNA的快速切換，關(guān)鍵信息基礎(chǔ)設(shè)施安全便無從談起。根據(jù)“敵情想定”的原則，有必要改變之前根據(jù)“既成損害事實(shí)”對潛伏網(wǎng)絡(luò)威脅進(jìn)行研判的傳統(tǒng)模式，轉(zhuǎn)為從總體國家安全觀高度來確認(rèn)支撐關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)系統(tǒng)的國家安全重要性級別，并且將高級別關(guān)鍵信息基礎(chǔ)設(shè)施中出現(xiàn)的攻擊受控事件與持久化潛伏威脅作為必須“第一時間發(fā)現(xiàn)、第一時間獵殺、第一時間全網(wǎng)清除”的“零容忍”目標(biāo)。

總書記強(qiáng)調(diào)：“我們必須深入研究，采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)?！钡谖覈男畔⒒ㄔO(shè)中，信息基礎(chǔ)設(shè)施的不完備，信息化建設(shè)的“小生產(chǎn)化”等原因，我國在基礎(chǔ)結(jié)構(gòu)安全和縱深防御層面存在嚴(yán)重的先天基礎(chǔ)不足；同時，由于在信息化建設(shè)過程中，沒有充分考慮安全需求，導(dǎo)致更高級的安全手段，如態(tài)勢感知、威脅情報等無法疊加在現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，難以形成動態(tài)綜合的防御體系，難以有效對抗高等級威脅。因此，需要認(rèn)真落實(shí)信息化和安全的同步建設(shè)，從信息化建設(shè)的開始就深入考慮安全需求，切實(shí)做到“安全與發(fā)展同步推進(jìn)”。

在后續(xù)的文章中，我們將繼續(xù)關(guān)注美國網(wǎng)空攻擊裝備體系，展現(xiàn)美國在其他方面的網(wǎng)空攻擊作業(yè)能力，敬請期待。