美國網絡空間攻擊與主動防御能力解析
——用于持久化控制的網空攻擊裝備

◎安天研究院

上一期中，我們對美國國家安全局（NSA）和中央情報局（CIA）用于突破物理隔離的網空裝備進行了介紹，展現了美國在攻擊性的網空作業中，對各類機構的內網體系，特別是對物理隔離網絡的穿透能力。在本期中，我們將對美方用于實現持久化控制的網空攻擊性軟硬件裝備進行介紹，展現美方針對各類網絡設備以及服務器與終端節點做到全方位覆蓋的持久化能力。

持久化的目的是實現對目標網絡設備或節點系統的持續控制，這既是進行網絡情報獲取等攻擊性網空行動所依賴的基礎，也是開展積極防御反制威懾乃至實現網絡戰攻擊的重要前提。傳統戰爭中，是在戰爭開始之時將作戰人員和裝備投入戰場，適應戰場以便在戰爭中獲得主動。而在網絡空間中，攻擊方可以在網絡戰開始前的數天、數月甚至數年就進行“戰場預制”，通過對內網的穿透能力和對生產、運營商、物流鏈等相關環節的滲透，在網絡戰爭開始前已經按照于己方有利的方式，攻擊控制具有潛在戰略或戰術意義的網絡設備和節點系統，從而隱蔽地實現對網絡空間戰場陣地的預制改造。在戰爭開始時，就可以迅速地將攻擊載荷投遞至已被持久化控制的關鍵位置，或者通過被持久化控制的陣地節點間接對關鍵位置發起攻擊并投遞載荷，從而通過攻擊行動實現軍事作戰所需的網空攻擊效用。事實上，在現代網絡戰爭中，戰爭模式早已從戰時選取目標開展攻擊的早期模式，轉變為戰時根據作戰需要，從已被持久化控制的網絡節點中挑選具有戰略或戰術意義的目標，并展開組合攻擊行動的成熟模式。因此，在網絡空間的較量，對重要網絡設備和節點系統進行持續隱秘控制的持久化能力，已經成為對敵方的重要的戰略優勢。

在持久化這一問題上，美國一直秉承“持久化一切可以持久化的節點”的理念，將其作為一種重要的戰略資源儲備，為長期的信息竊取和日后可能的網絡戰做準備。據斯諾登披露的NSA內部文件顯示，對網絡的監視僅僅是美國“數字戰爭戰略”中的“第0階段”，監視的目的是檢測目標系統的漏洞，這是執行后續行動的先決條件。一旦“隱形持久化植入程序”滲入目標系統，實現對目標系統的“永久訪問”，那么“第3階段”就已經實現，這一階段被稱為“主宰”，可見持久化能力的重要性。而這些都是為最終的網絡戰做準備。一旦在目標系統達成持久化，攻擊者就能夠實現隨時從監視到攻擊行動的無縫切換，即由計算機網絡利用（即CNE）轉換為計算機網絡攻擊（即CNA），對目標網絡或系統進行破壞和摧毀。

談及持久化，不得不提“方程式”組織對于固件的持久化能力。2015年初卡巴斯基和安天先后披露一個活躍了近20年的攻擊組織——方程式組織，該組織不僅掌握大量的0day漏洞儲備，且擁有一套用于植入惡意代碼的網絡武器庫，其中最受關注、最具特色的攻擊武器是可以對數十種常見品牌硬盤實現固件植入的惡意模塊。依靠隱蔽而強大的持久化能力，方程式組織得以在十余年的時間里，隱秘地展開行動而不被發現。方程式組織被認為和NSA有較大關聯。

“蛋奶酥槽”（SOUFFLETROUGH）工具集介紹

“給水槽”（FEEDTROUGH）工具集介紹

根據目前披露的文件顯示，NSA和CIA均開發了大量具有持久化能力的網絡攻擊裝備。NSA的相關裝備主要由特定入侵行動辦公室（TAO）下屬的先進網絡技術組（ANT）開發。比較有代表性的裝備包括針對Juniper不同系列防火墻的工具集“蛋奶 酥 槽 ”（SOUFFLETROUGH） 和“給水槽”（FEEDTROUGH）、針對思科Cisco系列防火墻的“噴射犁”（JETPLOW）、針對華為路由器的“水源”（HEADWATER）、針對Dell服務器的“神明彈跳”（DEITYBOUNCE）、針對桌面和筆記本電腦的“盛怒的僧侶”（IRATEMONK）等。

SOUFFLETROUGH是一種通過植入BIOS實現持久化能力的惡意軟件，針對Juniper SSG 500和SSG 300（320M/350M/520/550/520M/550M）系列防火墻。它能夠向目標注入數字網絡技術組（DNT）的植入物“香蕉合唱團”（BANANAGLEE，功能尚不完全明確），并在系統引導時修改Juniper防火墻的操作系統。如果BANANAGLEE無法通過操作系統引導啟動，可以安裝駐留型后門（PBD）與BANANAGLEE的通信結構協作，以便之后獲得完全訪問權。該PBD能夠發出信標并且是完全可配置的。如果BANANAGLEE已經安裝于目標防火墻，則SOUFFLETROUGH可以執行遠程升級。

JETPLOW是針對思科500系列PIX防火墻，以及大多數ASA防火墻（5505/5510/5520/5540/5550） 的 惡 意軟件，功能與SOUFFLETROUGH基本相同，能夠注入BANANAGLEE并安裝PBD。類似地，FEEDTROUGH針對Juniper Netscreen防火墻，能夠注入BANANAGLEE和另一款名為“興趣點泄露”（ZESTYLEAK，功能尚不完全明確）的惡意軟件。此外，還有一系列針對Juniper路由器的BIOS注入工具，包括“學院蒙塔納”（SCHOOLMONTANA）、“山脊蒙 塔納”（SIERRAMONTANA）和“灰泥蒙塔納”（STUCCOMONTANA）等，分別是針對Juniper J、Juniper M和Juniper S系列路由器，用以完成DNT相關植入程序的持久化。

HEADWATER是一個駐留型后門工具集，針對華為路由器。HEADWATER后門能夠通過遠程運營中心（ROC）遠程傳輸到目標路由器。傳輸完成后，后門將在系統重啟后激活。一旦激活，ROC就能夠控制后門，捕獲并檢查通過主機路由器的所有IP數據包。HEADWATER是針對華為公司路由器的PBD的統稱，相關文件還提到，NSA和CIA曾發起聯合項目“渦輪熊貓”（TURBOPANDA）使用PBD來利用華為的網絡設備。

“噴射犁”（JETPLOW）工具集介紹

DEITYBOUNCE提供一個軟件應用程序，利用主板的BIOS和系統管理模塊駐留在戴爾PowerEdge服務器中，操作系統加載時能夠周期性的執行。該技術能夠影響多處理器系統（RAID硬件和Microsoft Windows 2000、2003和XP操作系統），針對戴爾PowerEdge 1850/2850/1950/2950服務器。通過遠程訪問或物理訪問，ARKSTREAM在目標機器上重新刷新BIOS，以植入DEITYBOUNCE及其有效載荷。

IRATEMONK通過注入硬盤驅動器固件，針對桌面和筆記本電腦提供持久化能力。通過主引導記錄（MBR）替代以獲得執行。這種技術針對不使用磁盤陣列的系統，支持西部數據、希捷、邁拓、三星等品牌的硬盤，支持的文件系統格式包括FAT、NTFS、EXT3和UFS。通過遠程訪問或物理訪問，將硬盤驅動固件發送至目標機器，以植入IRATEMONK及其有效載荷。

根據維基解密披 露 的 CIA“Vault 7”文檔顯示，CIA同樣開發了大量具有持久化功能的網絡攻擊裝備，包括“暗物質 ”（DarkMatter）、“午夜之后”（A fterMidnight）和“天使之火”（AngelFire）等。

DarkMatter是一組針對蘋果主機和手機的惡意軟件和工具，能夠通過多種方式實現持久化，包括偽裝成雷靂接口轉換設備或進行固件植入，可通過人力作業或物流鏈劫持實現。AfterMidnight是一個惡意代碼植入框架，能夠向目標遠程投放惡意軟件，其主程序具有持久化能力，能夠偽裝成Windows系統的.dll文件。AngelFire是一個針對Windows計算機的惡意代碼植入框架，能夠通過修改引導扇區的方式，在Windows系統中安裝持久化的后門。

通過以上介紹可以看出，美方的情報部門開發了大量針對各類網絡和終端設備的持久化工具，這既是美方“持久化一切可以持久化的節點”理念的體現和實踐基礎，也從一個側面反映了美方網絡空間攻擊裝備全平臺、全能力覆蓋的特點。

無論是NSA還是CIA的持久化裝備，其目的都是對關鍵網絡或系統實現長期、隱秘的控制，為持續的情報竊取和未來可能的攻擊行動、甚至發動網絡戰做準備。在這種情況下，我們應該認識到，關鍵信息基礎設施的保護應該不僅僅是數據的保護，更重要的是要確保對網絡與系統控制權的掌控。攻擊者一旦獲得了在關鍵信息基礎設施中的“主宰”能力，能夠實現隨時從CNE到CNA的快速切換，關鍵信息基礎設施安全便無從談起。根據“敵情想定”的原則，有必要改變之前根據“既成損害事實”對潛伏網絡威脅進行研判的傳統模式，轉為從總體國家安全觀高度來確認支撐關鍵信息基礎設施的網絡設備和節點系統的國家安全重要性級別，并且將高級別關鍵信息基礎設施中出現的攻擊受控事件與持久化潛伏威脅作為必須“第一時間發現、第一時間獵殺、第一時間全網清除”的“零容忍”目標。

總書記強調：“我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施的安全防護?！钡谖覈男畔⒒ㄔO中，信息基礎設施的不完備，信息化建設的“小生產化”等原因，我國在基礎結構安全和縱深防御層面存在嚴重的先天基礎不足；同時，由于在信息化建設過程中，沒有充分考慮安全需求，導致更高級的安全手段，如態勢感知、威脅情報等無法疊加在現有的網絡環境中，難以形成動態綜合的防御體系，難以有效對抗高等級威脅。因此，需要認真落實信息化和安全的同步建設，從信息化建設的開始就深入考慮安全需求，切實做到“安全與發展同步推進”。

在后續的文章中，我們將繼續關注美國網空攻擊裝備體系，展現美國在其他方面的網空攻擊作業能力，敬請期待。