病毒武器智能化技术现状与运用趋势

近年来，美国国家安全局等网络武器库曝光，使得有关病毒武器的研制与运用问题再次引起全球范围内安全行业的广泛关注。同时，随着人工智能技术发展运用越来越深入，病毒武器开始集成使用智能技术。从公开信息可以看出，当前病毒武器在攻击对象选择、技术复杂度、组织严密性和攻击效果等方面体现出越来越明显的智能化特征。

一、病毒武器智能化技术现状

从“震网”“火焰”病毒到NSA ANT的攻击工具平台、影子经纪人公布的方程式组织攻击工具集，再到CIA Vault 7网络武器库，病毒武器智能化趋势得到了充分体现。智能化特征主要表现为对攻击目标、攻击时间、攻击范围、效果程度、制动与自毁等方面自动控制。病毒武器智能化可能表现为以下一个或多个方面技术的综合体。

（一）定向攻击技术

针对性选择目标，实现定向攻击是病毒智能化的首要特征。智能病毒能够通过扫描、探测和收集目标系统的存储数据、系统属性和网络特征等多种信息，进而判断是否为攻击目标，如果符合攻击条件，就会继续开始下一步的破坏活动。许多病毒样本为了更好的实现自我保护，在加载核心模块前会主动检测环境，一旦检测是虚拟机/沙箱环境，或者并非攻击的目标，会立即完成自我清除功能。2018年8月，IBM 研究院在Black Hat USA 2018会议上提出基于AI支持的新型高度针对性和规避攻击工具DeepLocker，其技术思路是将现有AI模型与当前的恶意软件技术相结合，将其恶意负载隐藏在良性运营商应用程序（如视频会议软件）中，通过面部识别、地理定位、语音识别等因素对受害者进行识别，结合在线跟踪器等来源收集的数据进行分析，一旦确认目标，DeepLocker就会发动攻击。如果找不到目标，那么恶意软件将处于隐蔽状态。

（二）多途径攻击技术

综合利用多个漏洞和恶意代码功能，多路径实施攻击致效是智能病毒确保作用发挥的主要方式。NSA的“ANT”攻击武器体系，掌握了大量的未知安全漏洞（0day），开发了非常成熟的工程化的攻击利用植入框架，具备从底层到上层覆盖多种操作系统和应用的全方位渗透和控制能力。Vault 7网络武器库曝光材料反映，CIA在2016年内获得了24款武器化的安卓“零日漏洞”，其病毒工具能够对苹果、安卓等各类智能手机进行技术破解，其中有些技术甚至可以拿到目标设备的完整控制权。Vault 7中一款名为“HIVE”工具，能够让受感染的电脑系统互相进行通信。CIA利用这种跨平台恶意软件远程入侵和监控运行了Windows、Mac OS以及Linux等操作系统的个人计算机，并且可以绕过加密措施和安全设置，保持对网络目标的持续监控。

（三）攻击进程控制技术

智能病毒的另一个重要特征是能够根据不同攻击任务，加载不同的组件，同时综合利用多种传播途径，将控制信息以各种形式同时发送，保证远程操控的可靠性，从而达成攻击目的。2017年新出现的一种Delphi Loader病毒，为了延迟、降低沙箱检测成功率，增加逆向分析的难度，会在解密核心代码前多次调用无意义的函数。APT组织DarkHotel在十数年的网络攻击活动中，使用的病毒代码非常复杂，相关功能模块达到数十种，涉及恶意代码数量超过200个。2018年6月，ESET的恶意软件研究人员发现了InvisiMole病毒，用于攻击俄罗斯和乌克兰的重点目标，该病毒潜伏5年以上。InvisiMole只针对极少数高价值目标才进行部署，采用禁用UAC、自毁等多种技术来逃避检测和分析。

（四）攻击效果控制技术

根据攻击任务需要，智能病毒能够实现特定的攻击效果。目前智能病毒，能够为接入、分析、攻击、评估、伪装等网络行动提供支撑，达成破网、欺骗、管控、摧毁等多种效果。CIA Vault 7网络武器库泄露资料中，其病毒武器可以对自动驾驶车辆、定制化消费软件和基于Linux嵌入式系统的各类平台发起入侵攻击，不仅能利用这些设备来监视目标举动，还可操作智能电视等终端设备，甚至可以遥控智能汽车发起暗杀行动等。另外，“Vault 7”还详细记录了一种名叫Weeping Angel的病毒工具，可以用来入侵三星智能电视并让其进入一种“伪关机”模式，用户以为处于关机状态，其实却在记录附近语音聊天信息，并通过互联网发送至一个隐秘的CIA服务器。

二、智能病毒武器运用趋势

随着网络信息技术的发展以及具有国家背景黑客组织的日益活跃，病毒武器造成的影响与危害越来越大，其发展与运用引起世界各国广泛重视。综合近年来发生的网络安全事件和各类APT组织活动情况，智能病毒武器呈现出运用体系化、技术机理向工控和物联网设备融合发展等趋势。

（一）组织运用向体系化发展

当前，各类APT组织使用的病毒武器，均体现了多种病毒技术的智能化组合运用，反映在整个攻击链路各个层面的体系作用上。2011年，美国洛克希德马丁公司首次将军事领域的“杀伤链”概念引入网络空间，将网络攻击划分为侦察跟踪、武器构建、载荷投递、突防利用、安装植入、通信控制、达成目标等7个部分。2015年，美国防部在《网络安全测试与评估指南》中提出“网络安全杀伤链”(CSKC),主要包括侦察、武器化、散布、利用、控制、实施、维持等7个阶段。此后，Gartner、Verdasys、HPE等公司也相继提出网络杀伤链类似的概念。随着“杀伤链”概念的引入，病毒武器从依赖单一病毒工具向细化分工协作的智能病毒体系转变。从NSA的ANT攻击平台、CIA的Vault 7武器库中，可以看出美方从工具设计、代码编写、程序部署、后期维护、攻击实施等多个方面，都把病毒武器智能化运用当成一项系统化工程来进行实施，各个分支部门分工明确、责任清晰、目标统一，虽然研究的重点各不相同，但最终各类病毒工具又能形成针对各种网络攻击任务的团队协作和合力出击，威胁巨大。

（二）技术机理向特定设备融合

智能病毒的目标向基础设施和物联网设备聚集，在技术上也需要融合各类特定设备的技术机理。一方面，随着IT/OT一体化的迅速发展，工业控制系统越来越多的采用通用硬件和通用软件，工控系统的开放性与日俱增，系统安全漏洞和缺陷成为融合生成智能病毒的天然营养。另一方面，特定行业的工业系统由于自身安全建设的不足，很多工控设备缺乏安全设计，设备联网机制缺乏安全保障，也为设计针对性专门智能病毒提供了条件。2017年12月，黑客利用Triton、HatMan等智能病毒攻击了施耐德公司的Triconex安全仪表系统（SIS），该系统广泛应用于能源行业和核设施的功能安全保护。调查显示，基于Python编写的HatMan通过专有的TriStation协议与SIS控制器进行通信，允许攻击者通多添加新的梯形图修改SIS安全逻辑，旨在关停系统并尝试修改系统到危险失效状态。从此安全事件可以看出，攻击者已不满足于攻击常规工控系统（DCS/PLC），而是开始攻击工业领域最核心的安全保护系统，尝试造成爆炸、有害物质泄漏等更严重的危害。

（三）攻击目标向物联网、移动终端发展

随着物联网技术的普及，各种智能可穿戴设备、智能家居、智能路由器等终端设备和网络设备迅速发展，但由于部分设备在开发设计时缺乏相关安全措施的考虑，导致设备先天就存在一些安全缺陷，使攻击者能够轻易实施攻击。以2017年活跃的物联网病毒为例，针对摄像头/路由器感染为主的Mirai，针对腾达路由器的Gafgyt，针对华为路由器的Satori和Brickerbot，以及内嵌多个漏洞扫描模块的IoTroop，这些病毒都将攻击目标指向具体的脆弱设备。可以预见随着脆弱设备数量的增加，安全问题将愈发严峻，可能成为未来发起大规模网络攻击的温床。另外，移动端已成为不法分子紧盯着的目标。根据数据显示，21.1%的iOS用户及34.3%的安卓用户中过手机木马病毒。这其中就包含针对特定目标人群的高危智能病毒。2016年，iOS暴出“三叉戟”高危漏洞，利用该漏洞，黑客只要发送恶意链接诱骗用户点击，苹果手机就会被黑客接管，从而窃取短信、邮件、通话记录、电话录音、存储的密码等大量隐私数据，监听并窃取Whatsapp、微信等社交软件的聊天信息，甚至开启麦克风偷偷录音并发送给攻击者，而手机用户完全无法察觉。可以判断，对于移动平台来说，持久化和隐藏的智能病毒一直是一个被低估的问题。随着智能终端用户量的上升，越来越多的攻击组织会将移动端作为主要攻击目标。

（四）攻击过程向供应链延伸

智能病毒在施效途径上越来越倾向于对供应链的定向攻击。智能病毒供应链攻击利用供应商与最终用户之间的信任关系，在合法正常传播和升级过程中，利用供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。以NSA ANT攻击工具为例，其49类工具多以软硬件结合的方式实现，持久隐藏在计算机网络和移动通信网络的核心部位，常规防护措施难以发现。供应链攻击在2017年呈现出爆发的态势。其中，HP音频驱动键盘记录器事件则是影响面较广的厂商预留后门事件，该音频驱动程序会记录用户所有敲击记录，以明文存储的形式保存在本地，并以调试信息的方式上传给开发商。由于供应链安全问题具有较强的隐蔽性，即使用户被感染也很难察觉，而且涉及软硬件的分发传播、更新以及管理等各个环节，在将来的一段时间智能病毒必然会带来更大的安全挑战。

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。