美國網(wǎng)絡(luò)空間攻擊與主動防御能力解析
——用于命令與控制的網(wǎng)空攻擊裝備

上一期中，我們展開介紹了美國國家安全局（NSA）和中央情報局（CIA）用于實(shí)現(xiàn)漏洞利用的網(wǎng)空攻擊裝備，揭示了美方豐富的漏洞儲備及強(qiáng)大的漏洞利用能力。在本期中，我們將對美方用于命令與控制的網(wǎng)空攻擊裝備與設(shè)施進(jìn)行介紹，展現(xiàn)美方隱蔽而強(qiáng)大的命令與控制能力。

美國國防部軍事和相關(guān)術(shù)語詞典將“命令與控制”（Command and Control）定義為：“在完成任務(wù)期間，由指定的指揮官對指派和附屬部隊行使權(quán)力和指揮，也稱為C2”。該定義被延伸到網(wǎng)絡(luò)空間，通常用以描述攻擊者利用命令與控制基礎(chǔ)設(shè)施向受害者發(fā)送命令與控制指令的行為。在通常的網(wǎng)絡(luò)入侵行動中，攻擊者需要和已經(jīng)進(jìn)入目標(biāo)網(wǎng)絡(luò)/系統(tǒng)的惡意代碼進(jìn)行通信，發(fā)送指令并獲取數(shù)據(jù)，因此需要使用用于命令與控制的工具，盡可能地以安全、隱蔽的方式實(shí)現(xiàn)攻擊者與植入惡意代碼之間的通信。類比于傳統(tǒng)空間中的諜報或特種作戰(zhàn)行動，就像是由特工人員使用隱匿交聯(lián)通道指揮被策反的“鼴鼠”開展情報竊取或蓄意破壞行動的過程。

為實(shí)現(xiàn)上述目的，NSA在全球范圍構(gòu)建了大規(guī)模的隱藏基礎(chǔ)設(shè)施，并通過部署在骨干網(wǎng)節(jié)點(diǎn)的“混亂”（TURMOIL）系統(tǒng)，進(jìn)行數(shù)據(jù)的捕獲和注入。在本專欄的第四期，我們曾簡要介紹了NSA“湍流”（TURBULENCE）框架下的信號情報獲取系統(tǒng)TURMOIL，其依靠RAMPART-A等項(xiàng)目，能夠?qū)ヂ?lián)網(wǎng)數(shù)據(jù)進(jìn)行獲取和注入。據(jù)相關(guān)披露，截至2013年，NSA至少已經(jīng)建立了13個RAMPART-A站點(diǎn)，通過與其他國家合作的方式，獲得互聯(lián)網(wǎng)接入點(diǎn)。例如NSA曾與德國聯(lián)邦情報局（BND）合作，由BND提供進(jìn)入德國電信公司法蘭克?；ヂ?lián)網(wǎng)交換機(jī)中心的通道，NSA提供復(fù)雜的設(shè)備。此外，NSA還能夠從包括海底光纜在內(nèi)的70余種線纜中獲取數(shù)據(jù)，進(jìn)而獲得全球范圍的信息獲取與流量注入能力，并通過秘密的通信網(wǎng)絡(luò)將數(shù)據(jù)回傳到NSA。依靠這些基礎(chǔ)設(shè)施和NSA的先進(jìn)能力，美方能夠?qū)阂廛浖@取的數(shù)據(jù)從其控制的互聯(lián)網(wǎng)接入點(diǎn)中抽取出來，同樣可以將C2指令通過其控制的接入點(diǎn)注入到互聯(lián)網(wǎng)中，并且能夠仿冒任何國家的IP地址，這使得美方具備了極強(qiáng)的高級反溯源能力。

在具體的C2裝備方面，美方同樣展現(xiàn)出了強(qiáng)大的一面。2017年4月，“影子經(jīng)紀(jì)人”（The Shadow Brokers）曝光了一系列有關(guān)NSA的資料，其中包括一個名為“SWIFT”的文件夾（SWIFT即環(huán)球同業(yè)銀行金融電訊協(xié)會，為國際銀行間結(jié)算提供通訊業(yè)務(wù)），內(nèi)容為美方對中東和拉美地區(qū)銀行SWIFT系統(tǒng)的幾起攻擊行動，包括針對EastNets SWIFT服務(wù)局的攻擊行動JEEPFLEA_MARKET（具體目標(biāo)為迪拜、比利時和埃及）和針對BCG SWIFT服務(wù)局的攻擊行動JEEPFLEA_POWDER（目標(biāo)為巴拿馬和委內(nèi)瑞拉，據(jù)資料顯示該行動當(dāng)時并未成功）。

安天CERT對上述事件進(jìn)行了復(fù)盤分析，攻擊者使用了我們在本專欄第七期中提到的“香蕉合唱團(tuán)”（BANANAGLEE）工具，利用防火墻漏洞進(jìn)入內(nèi)網(wǎng)，之后在內(nèi)網(wǎng)進(jìn)行橫向移動，最終獲取了多個服務(wù)器的控制權(quán)，竊取重要數(shù)據(jù)。在這一過程中，攻擊者使用了DanderSpritz（DS）平臺與植入的惡意軟件進(jìn)行C2通信。DS是一個命令與控制平臺，相關(guān)披露最早出現(xiàn)在棱鏡事件中，后由影子經(jīng)紀(jì)人曝光，該平臺上的攻擊工具和插件非常豐富且標(biāo)準(zhǔn)化，一旦DS的載荷植入遠(yuǎn)程主機(jī)即可方便地實(shí)現(xiàn)對植入物的命令與控制。DS平臺可以通過正向、反向、激活包三種方式與受害者建立連接，正向連接即攻擊者通過平臺主動與植入目標(biāo)的惡意軟件建立連接；反向即攻擊者監(jiān)聽指定端口，等待惡意軟件發(fā)起連接；激活包即攻擊者向惡意軟件發(fā)送一個trigger包，用來激活潛伏的惡意軟件。同時，通過分析發(fā)現(xiàn)，DS平臺在通訊過程中嚴(yán)格加密，使得安全分析人員即使捕獲了載荷樣本也很難破解通信內(nèi)容（圖1）。

通過DanderSpritz攻擊平臺，情報作業(yè)人員可以使用數(shù)百個插件進(jìn)行組合來實(shí)現(xiàn)相應(yīng)功能，對目標(biāo)設(shè)備進(jìn)行全方位的控制。這些插件體現(xiàn)了如下架構(gòu)風(fēng)格——不再采用功能高度復(fù)雜的單一木馬模式，而是把功能拆解成高度獨(dú)立的小模塊，這種拆解的粒度，幾乎到了“原子化”的程度，即使在簡單如獲取系統(tǒng)信息的操作中，也把類似獲取環(huán)境變量、語言集、網(wǎng)絡(luò)狀態(tài)等都作為一個獨(dú)立的小模塊，這將保證系統(tǒng)作業(yè)可以完全按需展開，從而最大化的保證作業(yè)的謹(jǐn)慎和靜默，以規(guī)避網(wǎng)絡(luò)與主機(jī)側(cè)基于特征檢測機(jī)制的匹配發(fā)現(xiàn)，從而確保命令與控制行為的隱蔽性，進(jìn)而保證其進(jìn)攻性網(wǎng)空行動的安全性。

此外，NSA先進(jìn)網(wǎng)絡(luò)技術(shù)組（ANT）開發(fā)的“拇指水”（HALLUXWATER）和“水源”（HEADWATER）裝備也包含命令與控制模塊。HALLUXWATER是針對華為防火墻的裝備，利用“渦輪熊貓”（TURBOPANDA）注入工具與NSA的攻擊者通信，使攻擊者能夠隱蔽地對內(nèi)存進(jìn)行讀寫操作和執(zhí)行程序。HEADWATER是針對華為路由器的攻擊裝備，利用數(shù)據(jù)網(wǎng)絡(luò)技術(shù)組（DNT）的“粉碎機(jī)”（HAMMERMILL）注入工具來控制駐留型后門，捕獲并檢查通過主機(jī)路由器的所有IP數(shù)據(jù)包。

圖1 DanderSpritz遠(yuǎn)程控制平臺

CIA同樣開發(fā)了各種用于命令與控制的裝備。2017年5月，維基解密在“7號軍火庫”（Vault 7）中披露了“雅典娜”（Athena），該裝備能夠感染所有版本的 Windows設(shè)備（Windows XP至Windows 10），并實(shí)現(xiàn)對目標(biāo)設(shè)備的遠(yuǎn)程命令與控制，一旦安裝在目標(biāo)設(shè)備上，惡意軟件就會提供包括配置和任務(wù)處理在內(nèi)的遠(yuǎn)程命令與控制功能。

另一款CIA的攻擊裝備“蜂巢”（Hive）則更具代表性。Hive是一款具有隱蔽通信能力的命令與控制平臺，在Vault 7及后續(xù)的“8號軍火庫”（Vault 8）中都進(jìn)行了披露。通過Hive，CIA情報作業(yè)人員能夠以安全隱蔽的方式與被控設(shè)備進(jìn)行通信。首先，被植入主機(jī)發(fā)出的流量會通過虛擬專用服務(wù)器發(fā)送到CIA的代理服務(wù)器，Hive會通過特定的方式區(qū)分主機(jī)的正常流量和植入物發(fā)送的流量，把流量分配到不同的服務(wù)器，對于正常的流量會返回正常的結(jié)果，對于植入物發(fā)送的流量會在識別后分配到CIA的后臺服務(wù)器進(jìn)行處理。同時，Hive的控制端與植入物之間通過加密通信傳輸C2指令和數(shù)據(jù)，這樣即使植入物被發(fā)現(xiàn)，由于難以掌握攻擊者通信的特征和加密方式等，也很難通過互聯(lián)網(wǎng)溯源到CIA（圖2）。

對于物理隔離的網(wǎng)絡(luò)，美方也能通過多種方法實(shí)現(xiàn)命令與控制。在本專欄的第六期中，我們曾介紹過一款CIA用于突破物理隔離的惡意軟件“野蠻袋鼠”（Brutal Kangaroo），能夠通過感染U盤進(jìn)入內(nèi)網(wǎng)，并能夠在多個控制的內(nèi)網(wǎng)節(jié)點(diǎn)間建立隱蔽的通訊網(wǎng)絡(luò)，之后通過U盤擺渡的方式實(shí)現(xiàn)命令與控制，傳遞數(shù)據(jù)和指令；NSA的“吼猴”（HOWLERMONKEY）是一組中近距離射頻收發(fā)器，大小只有幾毫米到幾厘米，十分便于隱藏，能夠分別配合其他裝備進(jìn)行射頻通信，結(jié)合人力情報作業(yè)，實(shí)現(xiàn)不依賴于網(wǎng)絡(luò)連接的命令與控制；NSA 的“陰暗惡棍”（SOMBERKNAVE）則試圖利用目標(biāo)自帶的802.11設(shè)備建立無線網(wǎng)絡(luò)連接，該惡意軟件能夠控制計算機(jī)的802.11網(wǎng)絡(luò)設(shè)備，嘗試搜索無線接入點(diǎn)，一旦有可用的網(wǎng)絡(luò)連接，該軟件便能夠與攻擊者建立通信，接受指令，下載新的載荷，進(jìn)行進(jìn)一步的入侵。

通過上述的介紹可以看出，以NSA、CIA為代表的美方情報部門開發(fā)了一系列具有命令與控制能力的攻擊平臺和武器裝備，功能原子化、目標(biāo)全覆蓋，且針對不直接與互聯(lián)網(wǎng)聯(lián)通的“物理隔離網(wǎng)絡(luò)”也進(jìn)行了能力適配，再次體現(xiàn)了美方網(wǎng)絡(luò)空間攻擊裝備模塊化、全平臺、全能力的特點(diǎn)。面對這種情況，對于我國的關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)來說，必須建立客觀的敵情想定，立足于與被保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)重要作用相適應(yīng)的威脅假設(shè)，設(shè)計、建設(shè)與實(shí)施綜合的防御體系。假定敵方已經(jīng)侵入我方內(nèi)網(wǎng)，以及假定敵方已經(jīng)建立了C2通道，開展積極協(xié)同的網(wǎng)絡(luò)安全對抗。

圖2 Hive架構(gòu)

具體來說，參考網(wǎng)絡(luò)安全疊加演進(jìn)模型，首先在基礎(chǔ)結(jié)構(gòu)安全方面，需要設(shè)計合理的網(wǎng)絡(luò)架構(gòu)，增強(qiáng)網(wǎng)絡(luò)的可管理性，認(rèn)真落實(shí)漏洞與補(bǔ)丁管理、策略管理、統(tǒng)一信任管理等安全措施，并通過合理配置與安全加固，收縮攻擊面，提升對手獲得控制權(quán)的難度與成本。在全面縱深防御方面，要確保安全防護(hù)措施與信息系統(tǒng)物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)等各個邏輯層次深度結(jié)合，并全面覆蓋信息系統(tǒng)的每一個角落，在對手可能的通信路徑上，設(shè)置多個安全監(jiān)測點(diǎn)與防御點(diǎn)，并通過合理的安全規(guī)則設(shè)置（如防火墻規(guī)則等），進(jìn)一步限制對手的 行為。同時，堅持“面向失效的設(shè)計”理念，考慮每一項(xiàng)安全手段失效的“后手”，做到層層防御，提高發(fā)現(xiàn)威脅的可能。對于某些高信息價值、高防護(hù)等級的網(wǎng)絡(luò)來說，可以根據(jù)業(yè)務(wù)情況，構(gòu)建基于白名單的安全環(huán)境，限制程序、主機(jī)的網(wǎng)絡(luò)訪問行為，對于白名單規(guī)則以外的訪問行為一律認(rèn)為非法。在基礎(chǔ)結(jié)構(gòu)安全和全面縱深防御的基礎(chǔ)上，需要建設(shè)全面持續(xù)的監(jiān)測系統(tǒng)，通過對信息的匯聚和分析，實(shí)現(xiàn)全天候全方位的態(tài)勢感知能力，同時結(jié)合內(nèi)外部威脅情報，及時發(fā)現(xiàn)威脅，并依靠相應(yīng)的安全團(tuán)隊和響應(yīng)與處置系統(tǒng)，進(jìn)行威脅獵殺，及時止損。

在之后的文章中，我們將繼續(xù)關(guān)注美國網(wǎng)空攻擊裝備體系，展現(xiàn)美國在其他方面的網(wǎng)空攻擊作業(yè)能力，敬請期待。