2010年6月,“震网”病毒首次被发现,它被称为有史以来最复杂的网络武器,该病毒同时利用7个最新漏洞进行攻击,有5个是针对windows 系统,2个是针对西门子SIMATIC WinCC系统。2011年1月26日,俄罗斯常驻北约代表罗戈津表示,这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害将不亚于1986年发生的切尔诺贝利核电站事故。

回溯整个事件的发展历程,我们不经有个疑问,任何国家的核工业网络都是封闭隔离网络,在这种情况下震网病毒是如何进行传播的?隔离网络是否就是万无一失了呢?

我们从攻击者角度对震网病毒如何传播至隔离网内部并逐步进行攻击的过程进行分析:

1. 寻找主要目标,该目标利用社会工程学,研究内部人员哪些安全性差,作为主要攻击对象。

2. 找寻该目标活动范围,在经常活动区域放置含有震网病毒的空U盘,诱使目标捡去使用。

3. 感染的U盘,利用快捷方式文件解析漏洞,传播到内部网络;

4. 在内网中,通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞,实现联网主机之间的传播;

5. 最后抵达安装了WinCC软件的主机,展开攻击。

同样,在2017年4月,美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开,其中有十款工具最容易影响Windows用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子利用“永恒之蓝”,通过扫描开放445文件共享端口的Windows,无需任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序,就像冲击波、震荡波等著名蠕虫一样可以影响互联网。2017年5月12日晚间起,我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复。2017年5月13日凌晨起,国内多家企业内网和政务网被感染。从互联网病毒到企业内网政务内网,我们不难看出,隔离网络并不能解决其安全问题,安全风险依然存在。

本文的研究方向不是如何防御隔离网攻击,而从攻击者角度,研究美军都有哪些隔离网络攻击的工具,他们是如何实现攻击的。给我们的隔离网运维人员一些警示,降低隔离网的安全风险。

“穹顶7” (Vault 7)是维基解密自2017年3月7日以来披露的一系列档案,详细揭示了美国中情局(CIA)的情报收集和网络战活动和能力。其中包含了大量的隔离网攻击工具,接下来我们一一分析他们的攻击原理:

“野蛮袋鼠”工具

野蛮袋鼠病毒其攻击封闭网络的方式和前两代“震网”病毒的攻击方式相似,并使用了新的未知攻击技术。该攻击技术不单单进行目标打击破坏,还包含了信息的盗窃回溯。主要攻击流程如下:

1. 在联网计算机中植入恶意感染程序;

2. 感染接入计算机的USB存储设备;

3. 如果这个被感染的U盘在隔离网络中使用,就会感染隔离网络中的计算机;

4. 偷窃计算机中的数据并秘密保存在U盘中;

5. 被感染的U盘被带出隔离网络;

6. 窃取的数据就会被传送回CIA。

“冲击钻”项目

维基解密的创始人阿桑奇2017年3月9日左右发布一段2分钟的视频专门解释了一个入侵安全隔离网的网络武器“冲击钻”,通过劫持Windows系统上的光盘刻录软件,感染光盘这类数据传输介质的方式,以达到入侵隔离网络目的。主要攻击流程如下:

1. 冲击钻会启动一个线程通过wmi接口来监控系统进程,并劫持进程的读文件操作。

2. 如果发现光盘刻录软件读入了PE可执行文件,就篡改文件注入shellcode恶意代码。

3. 如果光盘被接入隔离网络使用,黑客也就成功渗透了隔离网络。

4. 如果渗透完成的光盘内容拷贝到外网主机,那么该程序即可顺利回传盗取的内部相关资料。

“水蝮蛇系列”BadUSB攻击

水蝮蛇攻击武器已经发展有两代了,第一代的水蝮蛇武器主要以U盘或电脑网口为主,通过寻找隔离网单位合作的供应商,在供应商的产品中植入恶意程序。当U盘拷贝资料后,寻找外部可连接的互联网主机,回传盗取资料。

第二代水蝮蛇在第一代恶意程序的基础上,开发出了基于无线或者基站的回传形式,大大增加了回传信息的时效性。通过内置的隐蔽基站单元,当黑客人员基站在一定范围内,即可回传内部电脑中的相关资料,甚至可达到远程控制的目的。

“后院”定位装备及CTX4000数据读取射频设备

该项目攻击方式主要包含两种设备,一种是放置在隔离网内部的定位设备,通过隔离网供应商或者策反人员帮助的形式,植入在目标设备上,可以是VGA线、HDMI线、键盘、鼠标等等信息化设备中,内置了标准纽扣锂电池可使其工作数月甚至数年。

另一种是远程的数据采集设备,当CTX4000数据读取射频设备远程照射目标时,即可回传数据、视频、音频、GPS,并且可以达到非常高的实时效果。

前文提到了诸多隔离网攻击工具只是美军已被解密的部分,未被解密和正在使用的设备还有众多。但其攻击的根本原则无外乎利用安全性差的内部人员,策反人员配合,利用安全性差的隔离网供应商,策反隔离网供应商。这些事件和工具也给我们提出警告:内部人员不一定可靠、系统可能已经被攻破还没有发现、系统一定有未被运维人员发现的漏洞、一定有已发现的漏洞但运维人员安全意识差未修补。所以,隔离网络或一味垒墙防御是不能够防御到国家级的网络攻击的,只有利用充分的威胁情报主动检测发现,才能减少内部网络的安全风险。

本文作者:马凯,奇安信集团技术专家,主要从事云计算、大数据安全领域的研究工作,曾多次参与军事领域预先研究和规划设计工作,多年致力于信息安全一线工作。

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。