◎安天研究院

上一期中，我們對美國國家安全局（NSA）和中央情報局（CIA）用于實現(xiàn)持久化控制的網(wǎng)空攻擊性軟硬件裝備進(jìn)行了展開介紹，呈現(xiàn)了美方對各類網(wǎng)絡(luò)設(shè)備以及服務(wù)器與終端節(jié)點全方位覆蓋的持久化能力。在本期中，我們將對美方用于實現(xiàn)漏洞利用的網(wǎng)空攻擊裝備進(jìn)行介紹，揭示出美方豐富的漏洞儲備及強大的漏洞利用能力。

根據(jù)我國《信息安全技術(shù)安全漏洞等級劃分指南》，漏洞即計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷。漏洞一旦被惡意主體所利用，就會對計算機信息系統(tǒng)的安全造成損害，或者干擾系統(tǒng)正常運行，或者非法控制系統(tǒng)并實現(xiàn)包括提升權(quán)限、橫向移動、持久化等操作。從信息技術(shù)開發(fā)與運維的質(zhì)量控制角度來看，隨著技術(shù)快速變得復(fù)雜化，軟硬件產(chǎn)品存在漏洞的情況將會變得日益失控。在全球范圍內(nèi)，每年人們都會從不同的平臺、系統(tǒng)和軟件中挖掘出數(shù)量驚人的漏洞。有些漏洞被公開披露，由相關(guān)廠商發(fā)布補丁，將漏洞修復(fù)。而另一些漏洞的發(fā)現(xiàn)者則不想公開漏洞，而是將其隱藏起來，用于其他目的，這其中就包括美國的情報部門。

2017年11月15日，美國白宮向公眾發(fā)表了政府關(guān)于安全漏洞公平裁決程 序（Vulnerabilities Equities Process,VEP）的最新政策信息。VEP涉及的部門包括美國國防部（包含NSA）、CIA、國土安全部（DHS）等10個美國機構(gòu)，用于決策NSA和其他政府機構(gòu)發(fā)現(xiàn)的硬件、軟件、網(wǎng)絡(luò)設(shè)備和工業(yè)控制系統(tǒng)組件中哪些漏洞可以發(fā)布給美國公司以進(jìn)行漏洞修復(fù)，哪些漏洞仍作為機密以供情報和執(zhí)法部門在未來的行動中使用。

根據(jù)斯諾登及影子經(jīng)紀(jì)人曝光的資料來看，NSA具有大量的零日漏洞（從未公開披露的漏洞）儲備。2017年4月14日，影子經(jīng)紀(jì)人組織曝光了一批NSA的網(wǎng)空攻擊裝備與相關(guān)漏洞的資料。其中的Fuzzbunch是針對Windows操作系統(tǒng)的漏洞利用平臺，能夠向目標(biāo)主機植入有效載荷，在植入的過程中可直接內(nèi)存執(zhí)行，不需要生成實體文件。平臺中還包含數(shù)個針對特定類型目標(biāo)，并且可以直接使用的漏洞，包括“永恒之藍(lán)”（EternalBlue）、“永恒浪漫”（Eternalromance）等。該攻擊平臺泄露后，其中的永恒之藍(lán)漏洞被“魔窟”（WannaCry）勒索軟件利用，肆虐全球，之后的“必加”（Petya）和“壞兔子”（Bad Rabbit）勒索軟件也同樣利用該漏洞進(jìn)行傳播。永恒之藍(lán)漏洞僅是眾多泄露漏洞中的一個，其他永恒系列漏洞及其利用工具可能具有同等威脅能力。從泄露的資料來看，這些攻擊裝備是NSA幾年前開發(fā)的，其漏洞儲備和相關(guān)的裝備能力可見一斑。

相比于NSA，CIA的漏洞利用能力也絲毫不遜色。2017年維基解密披露了名為“7號軍火庫”（Vault 7）的一系列CIA網(wǎng)空攻擊裝備的相關(guān)文檔，其中的“櫻花盛開”（Cherry Blossom）具有利用漏洞功能。Cherry Blossom是一款在目標(biāo)網(wǎng)絡(luò)上實現(xiàn)監(jiān)控的工具集，針對大量主流品牌網(wǎng)絡(luò)設(shè)備，尤其是無線網(wǎng)絡(luò)設(shè)備。一旦在目標(biāo)網(wǎng)絡(luò)設(shè)備植入，就可以對接入該設(shè)備的用戶設(shè)備執(zhí)行中間人攻擊，將惡意內(nèi)容注入到數(shù)據(jù)流中，以利用目標(biāo)用戶計算機上應(yīng)用程序或操作系統(tǒng)中的漏洞，實現(xiàn)對目標(biāo)用戶計算機的控制。

Vault 7 中的“艾爾莎”（Elsa）和“法外之地”（OutLaw Country）則從另一個方面體現(xiàn)了CIA強大的漏洞利用能力。Elsa是一款利用Wi-Fi信號進(jìn)行定位的惡意軟件，針對Windows操作系統(tǒng)的筆記本電腦，通過植入設(shè)備周圍的Wi-Fi信號確定位置。Elsa雖然本身并沒有漏洞利用功能，但是其獲取的數(shù)據(jù)需要依靠CIA利用漏洞從目標(biāo)設(shè)備中檢索日志文件的方式取回。OutLaw Country是針對Linux操作系統(tǒng)的惡意軟件，允許將目標(biāo)計算機上的所有出站網(wǎng)絡(luò)流量重定向到CIA控制的機器。OutLaw Country本身同樣不具備漏洞利用功能，但其包含一個能夠在Linux目標(biāo)上創(chuàng)建隱藏的具有網(wǎng)絡(luò)過濾的內(nèi)核模塊，該內(nèi)核模塊需要通過漏洞利用注入到目標(biāo)操作系統(tǒng)中。

除以上裝備外，NSA還開發(fā)了一系列漏洞利用工具，包括針對Firefox的漏洞利用工具FINKDIFFERENT（FIDI）、 針 對 Juniper的 漏 洞 利用工具ZESTYLEAK、針對Dell PowerEdge服務(wù)器的BIOS漏洞利用工 具DEITYBOUNCE等，Vault 7中還包括一系列漏洞發(fā)現(xiàn)和漏洞利用工具，包括自動化的可利用漏洞識別工具CRUCIBLE、針對Android系統(tǒng)進(jìn)行漏洞發(fā)現(xiàn)的瀏覽器插件AngerManagement、針對Unix系統(tǒng)的漏洞利用工具BaldEagle、針對移動操作系統(tǒng)瀏覽器的漏洞利用工具HAMR等，部分裝備的具體功能在已披露的材料中并未介紹。

無論是斯諾登、影子經(jīng)紀(jì)人、還是維基解密的披露，都只是NSA和CIA龐大武器裝備庫的冰山一角。雖然部分漏洞或相關(guān)工具的詳細(xì)功能還不得而知，但就目前披露的資料看，美方無論在漏洞儲備的數(shù)量、質(zhì)量，還是在漏洞針對目標(biāo)的廣泛性上，同樣呈現(xiàn)出了全平臺、全能力覆蓋的特點。NSA、CIA利用其持有的覆蓋各類設(shè)備、平臺、系統(tǒng)、軟件的零日漏洞對各類高價值目標(biāo)實施網(wǎng)絡(luò)空間作業(yè)，有效支撐了美方的計算機網(wǎng)絡(luò)利用（CNE）和計算機網(wǎng)絡(luò)攻擊（CNA）。伊朗核設(shè)施被攻擊的“震網(wǎng)”（Stuxnet）事件就是一個典型的例子，在攻擊行動中，攻擊者一共使用了5個Windows的零日漏洞和1個西門子的零日漏洞，以一種看似近乎揮霍實則精妙組合利用零日漏洞的方式，實現(xiàn)了通過網(wǎng)絡(luò)空間作業(yè)對伊朗核設(shè)施造成物理破壞的效果，幾乎永久地遲滯了伊朗核計劃，達(dá)成了美方的戰(zhàn)略意圖。從漏洞利用角度來看，“震網(wǎng)”行動體現(xiàn)出了從技術(shù)層面零日漏洞到戰(zhàn)略層面壓制優(yōu)勢的價值轉(zhuǎn)換。

對于我國的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)來說，防御體系建設(shè)必須對標(biāo)高能力對手的攻擊能力，必須建立有效的敵情想定，以對手的能力來驅(qū)動防御能力的演進(jìn)。而從敵情想定的視角看，我國的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)現(xiàn)狀不容樂觀。一方面，由于對物理隔離的“盲目自信”，由于運維水平局限性而不得不在升級修補與保障運行間“二選一”，由于缺少對供應(yīng)鏈的積極管理而造成對補丁的“盲目不信任”，以及由于安全防御運行能力不足導(dǎo)致未能對漏洞進(jìn)行緩解防護(hù)等情況，我國關(guān)鍵信息基礎(chǔ)設(shè)施依然存在大量處于敞口暴露狀態(tài)的陳舊漏洞，這類漏洞極容易被攻擊利用，給攻擊者留下了巨大的可乘之機；另一方面，大量關(guān)鍵信息基礎(chǔ)設(shè)施依然沒有建立動態(tài)綜合的網(wǎng)絡(luò)安全防御體系，而僅靠單一或零散的安全手段很難有效應(yīng)對零日漏洞的利用。這就造成了關(guān)鍵信息基礎(chǔ)設(shè)施不僅難以應(yīng)對高能力對手利用零日漏洞的攻擊，甚至較低能力對手利用陳舊漏洞依然能夠?qū)ξ曳疥P(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行持續(xù)入侵的現(xiàn)狀，這種情況已經(jīng)被WannaCry、白象、海蓮花等事件的事實情況所證實。客觀來看，目前存在著“漏洞研究方面接近國際水平，漏洞防護(hù)方面卻難以做到有效自保”的“倒掛式”被動局面。

為了在網(wǎng)絡(luò)空間防御方面轉(zhuǎn)變這種被動局面，一方面必須建立并落實資產(chǎn)管理、漏洞管理、漏洞分析、補丁分析、補丁驗證等全方位的安全運行機制，樹立“關(guān)鍵信息基礎(chǔ)設(shè)施上不允許存在敞口漏洞”的準(zhǔn)則，解決如何給已發(fā)現(xiàn)漏洞打補丁的問題，以及解決如何給無法修補漏洞配備有效緩解防護(hù)措施的問題；另一方面，需要通過將網(wǎng)絡(luò)安全能力與信息技術(shù)基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行深度結(jié)合并實現(xiàn)全面覆蓋，依托動態(tài)綜合的防御體系應(yīng)對利用零日漏洞的高水平攻擊行動。例如：對關(guān)鍵信息基礎(chǔ)設(shè)施中的系統(tǒng)、軟件等進(jìn)行安全配置加固，收縮攻擊面，減小漏洞被利用的可能；建立全面覆蓋的縱深防御體系，增加發(fā)現(xiàn)威脅行為的機會；落實通過情報驅(qū)動的態(tài)勢感知體系，積極發(fā)現(xiàn)威脅，進(jìn)行威脅獵殺，及時緩解攻擊行動的影響，降低損失等。

在下一期，我們將繼續(xù)關(guān)注美國網(wǎng)空攻擊裝備體系，展現(xiàn)美國在其他方面的網(wǎng)空攻擊作業(yè)能力，敬請期待。