◎安天研究院

上一期中，我们对美国国家安全局（NSA）和中央情报局（CIA）用于实现持久化控制的网空攻击性软硬件装备进行了展开介绍，呈现了美方对各类网络设备以及服务器与终端节点全方位覆盖的持久化能力。在本期中，我们将对美方用于实现漏洞利用的网空攻击装备进行介绍，揭示出美方丰富的漏洞储备及强大的漏洞利用能力。

根据我国《信息安全技术安全漏洞等级划分指南》，漏洞即计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。漏洞一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，或者干扰系统正常运行，或者非法控制系统并实现包括提升权限、横向移动、持久化等操作。从信息技术开发与运维的质量控制角度来看，随着技术快速变得复杂化，软硬件产品存在漏洞的情况将会变得日益失控。在全球范围内，每年人们都会从不同的平台、系统和软件中挖掘出数量惊人的漏洞。有些漏洞被公开披露，由相关厂商发布补丁，将漏洞修复。而另一些漏洞的发现者则不想公开漏洞，而是将其隐藏起来，用于其他目的，这其中就包括美国的情报部门。

2017年11月15日，美国白宫向公众发表了政府关于安全漏洞公平裁决程 序（Vulnerabilities Equities Process,VEP）的最新政策信息。VEP涉及的部门包括美国国防部（包含NSA）、CIA、国土安全部（DHS）等10个美国机构，用于决策NSA和其他政府机构发现的硬件、软件、网络设备和工业控制系统组件中哪些漏洞可以发布给美国公司以进行漏洞修复，哪些漏洞仍作为机密以供情报和执法部门在未来的行动中使用。

根据斯诺登及影子经纪人曝光的资料来看，NSA具有大量的零日漏洞（从未公开披露的漏洞）储备。2017年4月14日，影子经纪人组织曝光了一批NSA的网空攻击装备与相关漏洞的资料。其中的Fuzzbunch是针对Windows操作系统的漏洞利用平台，能够向目标主机植入有效载荷，在植入的过程中可直接内存执行，不需要生成实体文件。平台中还包含数个针对特定类型目标，并且可以直接使用的漏洞，包括“永恒之蓝”（EternalBlue）、“永恒浪漫”（Eternalromance）等。该攻击平台泄露后，其中的永恒之蓝漏洞被“魔窟”（WannaCry）勒索软件利用，肆虐全球，之后的“必加”（Petya）和“坏兔子”（Bad Rabbit）勒索软件也同样利用该漏洞进行传播。永恒之蓝漏洞仅是众多泄露漏洞中的一个，其他永恒系列漏洞及其利用工具可能具有同等威胁能力。从泄露的资料来看，这些攻击装备是NSA几年前开发的，其漏洞储备和相关的装备能力可见一斑。

相比于NSA，CIA的漏洞利用能力也丝毫不逊色。2017年维基解密披露了名为“7号军火库”（Vault 7）的一系列CIA网空攻击装备的相关文档，其中的“樱花盛开”（Cherry Blossom）具有利用漏洞功能。Cherry Blossom是一款在目标网络上实现监控的工具集，针对大量主流品牌网络设备，尤其是无线网络设备。一旦在目标网络设备植入，就可以对接入该设备的用户设备执行中间人攻击，将恶意内容注入到数据流中，以利用目标用户计算机上应用程序或操作系统中的漏洞，实现对目标用户计算机的控制。

Vault 7 中的“艾尔莎”（Elsa）和“法外之地”（OutLaw Country）则从另一个方面体现了CIA强大的漏洞利用能力。Elsa是一款利用Wi-Fi信号进行定位的恶意软件，针对Windows操作系统的笔记本电脑，通过植入设备周围的Wi-Fi信号确定位置。Elsa虽然本身并没有漏洞利用功能，但是其获取的数据需要依靠CIA利用漏洞从目标设备中检索日志文件的方式取回。OutLaw Country是针对Linux操作系统的恶意软件，允许将目标计算机上的所有出站网络流量重定向到CIA控制的机器。OutLaw Country本身同样不具备漏洞利用功能，但其包含一个能够在Linux目标上创建隐藏的具有网络过滤的内核模块，该内核模块需要通过漏洞利用注入到目标操作系统中。

除以上装备外，NSA还开发了一系列漏洞利用工具，包括针对Firefox的漏洞利用工具FINKDIFFERENT（FIDI）、 针 对 Juniper的 漏 洞 利用工具ZESTYLEAK、针对Dell PowerEdge服务器的BIOS漏洞利用工 具DEITYBOUNCE等，Vault 7中还包括一系列漏洞发现和漏洞利用工具，包括自动化的可利用漏洞识别工具CRUCIBLE、针对Android系统进行漏洞发现的浏览器插件AngerManagement、针对Unix系统的漏洞利用工具BaldEagle、针对移动操作系统浏览器的漏洞利用工具HAMR等，部分装备的具体功能在已披露的材料中并未介绍。

无论是斯诺登、影子经纪人、还是维基解密的披露，都只是NSA和CIA庞大武器装备库的冰山一角。虽然部分漏洞或相关工具的详细功能还不得而知，但就目前披露的资料看，美方无论在漏洞储备的数量、质量，还是在漏洞针对目标的广泛性上，同样呈现出了全平台、全能力覆盖的特点。NSA、CIA利用其持有的覆盖各类设备、平台、系统、软件的零日漏洞对各类高价值目标实施网络空间作业，有效支撑了美方的计算机网络利用（CNE）和计算机网络攻击（CNA）。伊朗核设施被攻击的“震网”（Stuxnet）事件就是一个典型的例子，在攻击行动中，攻击者一共使用了5个Windows的零日漏洞和1个西门子的零日漏洞，以一种看似近乎挥霍实则精妙组合利用零日漏洞的方式，实现了通过网络空间作业对伊朗核设施造成物理破坏的效果，几乎永久地迟滞了伊朗核计划，达成了美方的战略意图。从漏洞利用角度来看，“震网”行动体现出了从技术层面零日漏洞到战略层面压制优势的价值转换。

对于我国的关键信息基础设施防护来说，防御体系建设必须对标高能力对手的攻击能力，必须建立有效的敌情想定，以对手的能力来驱动防御能力的演进。而从敌情想定的视角看，我国的关键信息基础设施防护现状不容乐观。一方面，由于对物理隔离的“盲目自信”，由于运维水平局限性而不得不在升级修补与保障运行间“二选一”，由于缺少对供应链的积极管理而造成对补丁的“盲目不信任”，以及由于安全防御运行能力不足导致未能对漏洞进行缓解防护等情况，我国关键信息基础设施依然存在大量处于敞口暴露状态的陈旧漏洞，这类漏洞极容易被攻击利用，给攻击者留下了巨大的可乘之机；另一方面，大量关键信息基础设施依然没有建立动态综合的网络安全防御体系，而仅靠单一或零散的安全手段很难有效应对零日漏洞的利用。这就造成了关键信息基础设施不仅难以应对高能力对手利用零日漏洞的攻击，甚至较低能力对手利用陈旧漏洞依然能够对我方关键信息基础设施进行持续入侵的现状，这种情况已经被WannaCry、白象、海莲花等事件的事实情况所证实。客观来看，目前存在着“漏洞研究方面接近国际水平，漏洞防护方面却难以做到有效自保”的“倒挂式”被动局面。

为了在网络空间防御方面转变这种被动局面，一方面必须建立并落实资产管理、漏洞管理、漏洞分析、补丁分析、补丁验证等全方位的安全运行机制，树立“关键信息基础设施上不允许存在敞口漏洞”的准则，解决如何给已发现漏洞打补丁的问题，以及解决如何给无法修补漏洞配备有效缓解防护措施的问题；另一方面，需要通过将网络安全能力与信息技术基础设施和业务应用系统进行深度结合并实现全面覆盖，依托动态综合的防御体系应对利用零日漏洞的高水平攻击行动。例如：对关键信息基础设施中的系统、软件等进行安全配置加固，收缩攻击面，减小漏洞被利用的可能；建立全面覆盖的纵深防御体系，增加发现威胁行为的机会；落实通过情报驱动的态势感知体系，积极发现威胁，进行威胁猎杀，及时缓解攻击行动的影响，降低损失等。

在下一期，我们将继续关注美国网空攻击装备体系，展现美国在其他方面的网空攻击作业能力，敬请期待。