1.概述
2024年2月12日,美国网络安全公司SentinelOne在其官网上发布题为“China’s Cyber Revenge/Why the PRC Fails to Back Its Claims of Western Espionage”的报告[1],(以下简称“SentinelOne报告”),对“中国三家知名网络安全企业360、奇安信、安天及中国网络安全产业联盟(CCIA)”等机构揭露美方情报机构网络攻击的相关报告进行解读。我们先直接概括其报告中的观点和关键逻辑。
SentinelOne报告对我们公开的分析报告基于时间线进行了梳理,并引述一些美方人士观点,设定了如下观点:
1、中方报告是对国际其他机构对美方分析的跟进,存在长期滞后;
2、中方分析工作严重依赖美方自身的信息泄露;
3、中方报告没有“PCAP包”级别的技术实证。
SentinelOne报告的逻辑并不是应答全球网络安全业界和研究者过去二十年来对美方情报机构攻击活动和能力的持续分析曝光,包括在美方多次信息泄露中所暴露出来的触目惊心的真相,而是试图把国际关注度转移到中国网络安全工作者的技术能力和水平是否能够支撑其持续独立发现、分析、研究、溯源美方的攻击上,并将实证的概念窄化为一种具体的技术格式。美西方此前长时间习惯性地从宏观层面夸大中国网络安全能力,以便为其情报机构和军工复合体争取巨额的网络安全预算,而此时,突然又在微观层面开启一波认为中国分析溯源能力很差的“嘲讽”流,并宣判:作为被霸凌者,你们反抗无效!
对SentinelOne报告所提及的中国安全企业的分析报告,有很大比例来自安天安全研究与应急处理中心(安天CERT),我们当然承认:作为一个企业级别的安全分析团队,分析美国情报机构这种超级网空威胁行为体的网络攻击活动和支撑体系,是非常艰苦的工作。我们知道其中有巨大的能力、资源等方面的落差。我们就如同一只警觉的白兔,努力睁大双眼去发现和分析在迷雾森林中吞噬咀嚼各种弱小动物的巨型鹰鹫,我们希望努力画出它的样貌,提醒森林里的其他动物警惕它的袭击。
2015年,我们提出了A2PT(即高级的高级持续性威胁)这一名词,以此明确其空前的能力和威胁,也提醒我们自己,对抗和分析这种攻击能力会有多么困难。
分析、溯源APT攻击本身是一个长期、复杂、需要大量资源,需要高度严谨的科学态度和耐心定力的工作,对于更为复杂的A2PT的分析则需要付出更大的代价。我们的工作过程基本不为常人所知,分析成果又只有专业人士才能充分理解。所以尽管SentinelOne报告整体逻辑如此之荒谬,但如果我们不向SentinelOne(我们愿意称呼他们为美国同行)点破若干他们视而不见的真相,包括向他们分享一点我们(也包括国际网络安全业界)对APT分析工作的真正理解,就不足以让人们看清SentinelOne报告貌似专业、甚至“公正”的梳理和分析下面隐藏的对世界的欺骗。
因此我们很感谢SentinelOne报告,让我们有机会以自己的回忆视角串联若干历史分析工作,包括促成我们公布这些工作中的一些未出现在历史报告中的过程线索。由于这段历程过于漫长,我们一度认为若干有价值的分析成果已经覆满尘土,但SentinelOne报告让我们可以把它们重新摘选出来,重新对世界发出告知与提醒。让所有寻求真相的人们,把我们的这份报告与SentinelOne报告摆放在一起,看看何为诡辩,何为逻辑与真相!
我们并不自诩正确,但我们总还有讲述自己经历的权力!
2. 接力追踪鹰鹫的足迹
美方情报机构的网络攻击不是孤立的行动,而是基于0day漏洞、高级恶意代码持久化和基于人力、电磁和网空混合作业的长期布局,并有庞大的工程体系作为支撑。在长期作业过程中可能经历大型恶意代码工程的多次迭代,这使得国际网络安全业界的分析曝光工作看起来像一场工作接力。
第一个接力高峰期,2010年由“震网”事件所触发,并沿着“火焰”“毒曲”“高斯”等复杂的恶意代码展开。SentinelOne的时间线开始就选错了起点,包括中国网络安全工作者在内的国际网安业界分析工作起跑于2010年,我们的工作和国际业内同仁是基本同步启动的,而不是2012年。2010年7月13日国际网络安全企业最早曝光相关消息后,我们在7月15日依托设定的关键字符串守候到了样本,并着手搭建“震网”的模拟分析环境,开始模拟分析相关机理。
图 2‑1安天搭建的“震网”简易模拟分析沙盘(2010.7)
针对“震网”的接力分析,是由很多复杂而琐碎的工作组成的。例如几乎所有参与分析的机构,都在其中找到了感染USB设备的摆渡感染代码。但多数没有成功触发复现USB摆渡行为。安天的分析贡献之一是对其摆渡的关键机理进行了深入分析,指出了其摆渡传播的控制条件,从而解释了其与其他蠕虫差异明显的受控传播特性。在2010年10月11日的《对Stuxnet的后续分析》[2]中,我们解读了:
Stuxnet是否感染到U盘,取决于配置数据中的多个域,包括:
·偏移0x6c、0x70、0xc8处的标记位;
·偏移0x78、0x7c处的时间戳;
·偏移0x80、0x84处的数值。
只有当每个域对应的条件都满足时,才会感染U盘。其中,偏移0xc8处的位默认设置为不感染。
图 2‑2“震网”文件释放结构和USB传播逻辑图(2010.10)
但我们对当时的分析精细度并不满意,在九年后的“震网”事件最终报告[3]中,我们对完整的标志位做了更新:
图 2‑3震网摆渡配置内容解析(2019.9)
2010年面对如此复杂的攻击时,我们承认自己匮乏资源与经验,作为从病毒分析组转型的应急分析团队,我们太习惯于代码功能逆向的视角,而并未将其所使用的多个0day漏洞进行逐一验证,也就留下了一个严重的分析错误,把针对Windows打印后台程序漏洞的利用当作了对打印机的攻击,还留下了如下带有错误的图示。这也间接导致了多份国内外的文献由于引用了我们的图示而产生关联错误。
图 2‑4 Stuxnet蠕虫突破物理隔离环境的传播方式的错误图示(2010.9)
尽管对“震网”事件的深入分析了解是全球所有APT分析研究者的基本功,但我们笃定的是:SentinelOne不会比我们更了解“震网”,因为如果他们分析过样本,恐怕就不会不知道“震网”会提取主机信息并追加于Payload尾部。显然,基于我们样本库中大量的“震网”样本对主机信息的还原,会提取出大量中国计算机被感染的证据。而这恰恰就是SentinelOne报告所说的实证。
图 2‑5安天基于样本提炼整理的感染中国计算机节点的部分数据
当美方领导人和政府人士不仅在多次场合中暗示承认“震网”与其情报机构的关系,甚至明显以此作为拥有强大网络攻击威慑的一种宣示时,对事件的分析就已经不能停留在样本分析和技术实证层面,而必须更深入的判断打开信息战“潘多拉魔盒”的影响。在对“震网”的分析中,安天量化对比了“震网”事件与二十年前的凋零利刃与巴比伦行动,明确提出“震网”的灾难性里程碑意义,在于其证明了网络攻击能达成传统作战行动的局部等效性。
表 2‑1两次针对主权国家核计划所采用的军事行动与准军事行动的对比分析(2015)
凋谢利刃与巴比伦行动(传统作战行动) | 震网行动(网络战行动) | |
发起攻击者 | 以色列、伊朗、美国 | 美国、以色列 |
被攻击目标 | 伊拉克核反应堆 | 伊朗铀离心设施 |
时间周期 | 1977-1981年 | 2006-2010年 |
人员投入 | 以色列空军、特工人员、伊朗空军、美国空军和情报机构 | 美、以情报和军情领域的软件和网络专家,工业控制和核武器的专家 |
产出 | 多轮前期侦查和空袭,核反应堆情报 | 战场预制、病毒的传播和伊朗核设施情报 |
各方装备投入 | 伊:2架F-4鬼怪式以12枚MK82减速炸弹-轰炸核反应堆假设工地;10架F-4袭击伊拉克H-3空军基地。 以:2架F-4E(S)-侦查任务;8架F-16A(美方提供)、4架F-15A、2架F-15B、16枚MK84炸弹-空袭反应堆 模拟搭建反应堆 特工人员暗杀伊拉克关键人员 美方:战略卫星和情报、空中加油机 | 震网病毒 模拟搭建离心机和控制体系 |
效费比 | 打击快速,准备期长,耗资巨大,消耗大,行动复杂,风险高 | 周期长,耗资相对军事打击低,但更加精准、隐蔽,不确定性后果更低 |
训练成本 | 18个月模拟空袭训练,2架F-4鬼怪攻击坠毁,3名飞行员阵亡 | 跨越两位总统任期,经历了5年的持续开发和改进 |
消耗 | 人力、军力、财力、装备力、情报 | 人力、财力、情报 |
毁伤效果 | 反应堆被炸毁,吓阻了法国供应商,伊拉克核武器计划永久迟滞 | 导致1000台至2000台离心机瘫痪,铀无法满足武器要求,几乎永久性迟滞了伊朗核武器计划 |
在“震网”之后,全球网络安全业界陆续发现了“毒曲”“火焰”“高斯”并发布报告,并陆续证明它们与“震网”的相关性。在面对“火焰”时,卡巴斯基指出,其攻击是当时发现的最为复杂的攻击之一,要对其完全分析清楚可能要耗费数年时间。我们意识到国际安全企业和从业者需要进行分工协同,我们尝试开启了一段马拉松式的分析赛跑,尝试完成更多的工作,对“火焰”主样本进行了分析[4],并提取了子模块清单,对其中重点模块进行了分析。从目前的公开资料检索看,在业内完成“火焰”的分析成果中,安天在模块层面的分析贡献占比是最高的。
图 2‑6“火焰”病毒主模块与子模块启动加载顺序(2012.5)
我们对“毒曲”和“震网”的同源分析报告晚于国际厂商[5],这的确是一个事实。“震网”“火焰”“毒曲”“高斯”系列存在同源关联是当时参与这些样本深度分析的各厂商的共同的猜测与判断。卡巴斯基的工作最为敏捷和坚决,而我们则没有把找到的相似点在第一时间沉淀为公开的分析成果,但如果比较这两份同源分析,其实也可以看到:安天所提供的同源点大部分与卡巴斯基并不相同,将分析成果叠加起来可以为APT样本体系间的同源性到代码复用占比分析提供更完整的线索和依据。
图 2‑7 安天公布的震网、毒曲同源关键代码基因对比(2012.5)
APT分析是一个社会协同过程,其中有大量的疑问是需要长时间的分析积累、关联回溯才能解决的,“震网”就是一个例子。例如在非常长的时间内都没有组织机构正式解答:作为高度定向的攻击所使用的样本,且大版本只有两个,总模块数只有数十个,但为什么其样本数量多达数千个,包括为什么在技术验证中,USB摆渡开关是默认关闭的,却能形成一条从中东到东南亚并渗透到中国的感染扩散链。我们在《震网事件的九年再复盘与思考》[3]对上述问题进行了分析解答,尽管这个解答迟来了九年,但这是中国网络安全工程师的独创内容。相比之下,急功近利的组织机构和研究者很难取得深度和系统的成果。
同样的,我们以软件工程的视角,梳理“震网”“火焰”“高斯”“毒曲”之间的代码复用关系,并输出了一个完整的图谱:
图 2‑8 安天发布Stuxnet和Duqu、Flame、Fanny、Flowershop关系图(2019.9)
既与时间赛跑,又在时间面前保持定力;既尊重他人的分析成果,又有自己的独创贡献,这就是中国网络安全工作者在这场接力中扮演的角色。
3.破解斯芬克斯之谜
A2PT组织攻击装备的重要特点是恶意代码和漏洞利用工具攻击武器几乎覆盖所有平台与场景。把这个全貌完整绘制出来,成为全球优秀的网络安全研究机构携手共同努力才能破解的斯芬克斯之谜。
在2013年之后,针对“方程式组织”(NSA下属的TAO团队)的分析协同就是一次集体解谜历险。“方程式组织”的新攻击活动与此前“震网”“火焰”系列攻击至关重要的差异是,“震网”是面向隔离网络的攻击作业,所以Payload必须包含所有的功能模块组件,这就便于完整的关联分析。
而新的攻击波次主要是依托互联网侧的高度模块化,针对场景按需投放。由于各国的IT基础环境、各安全企业服务的客户场景都有很大不同,任何一家网络安全厂商都不可能在短时内完整捕获其各平台样本和各种功能模块。如果说我们看到“震网”“火焰”“毒曲”“高斯”是依靠同源线索关联所形成的分析接力的研究,那么对“方程式组织”的分析实际上就是依靠自身的感知捕获能力,逐个解开其在各个平台上的免杀,直到最终完整解开它全平台覆盖能力。每一个平台捕获、分析、拼接到最终曝光,都走过了很长的过程。其中我们将iOS样本的曝光,与我们正式捕获完成分析的时间,已经相隔了8年。我们依靠自身的捕获能力,先后捕获了其Windows、Solaris、Linux、iOS平台的攻击样本,破解了样本加密机制。和国际产业界协同完成了其全操作系统平台覆盖能力的分析,并最终使其完整曝光。
图 3‑1全球网络安全厂商披露的方程式组织平台覆盖能力
2015年初,卡巴斯基率先开始公布了方程式组织对硬盘固件的攻击能力,安天跟进公布了分析报告[6],针对攻击组件结构、通信指令代码和控制结构提供了有价值的成果。
图 3‑2 安天公布的捕获的C2和通信密钥(2015.3)
安天该报告中还对硬盘固件写入模块进行了分析和过程研究,并在当时对可能被持久化主机硬盘进行了固件提取比对分析。
图 3‑3 安天分析硬盘固件升级流程(2015.3)
我们在2013年对“方程式”组织的捕获分析中,就监测发现大量回连攻击者C2的机器,确定国内存在被攻击目标。
图 3‑4国内回连方程式组织C2监测流量
2015年5月,安天发布报告,公开了“方程式”组织内置的数据加密和网络通信加密算法,公布了解密密钥和解密算法[7]。
图 3‑5方程式组织通信加解密算法分析(2015.4)
2016年,安天的报告首度曝光了“方程式”组织针对Linux系统和SPARC架构的Solaris系统的攻击样本[8],分析了样本的主要功能、通信模式和指令特点。与卡巴斯基等厂商报告叠加,构成了A2PT攻击组织的全平台恶意代码能力图谱。
图 3‑6方程式攻击组织多平台操作系统覆盖能力(2016.11)
2023年,安天曝光了“方程式”组织针对iOS的样本[9],报告与卡巴斯基报告“三角测量行动”互动,分别曝光了美方通过“量子”系统劫持投放和基于手机iMessage服务漏洞投放攻击iOS手机的攻击方式。安天在报告中还发布了“量子”系统的攻击能力图谱和美方支撑攻击系统运行的关系图谱。
图 3‑7 “量子”系统可攻击场景图谱化分析(2023.6)
显然,SentinelOne报告的编写者可能没有认真阅读过中国企业发布的任何一篇APT分析报告,其研究习惯是:依托各安全机构报告的发布时间来进行关联推理,他们并未意识到(或者不愿意正视)在每一次的连锁接力中,中国网络安全厂商与其他国家同行所发布的是不同的成果;而且显然,他们缺乏深入分析APT事件的经验和形成重量级分析报告的能力,从而意识不到中国厂商能够在其他国际同行发布分析成果后迅速跟进、发布具有相关性的成果,其实是由于这些报告的主体部分早已形成,只是在等待发布的时机。我们笃定:对于2023年6月1日卡巴斯基所发布的“三角测量”行动报告和安天在6月9日所发布的“量子系统击穿苹果手机”报告,他们没有读懂。
因为很显然,除了目标都是iOS之外,卡巴斯基和安天讲述的是两组完全不同的攻击活动。卡巴斯基所曝光的攻击是基于iMessage投放的,而安天曝光的攻击是基于“量子”系统通过流量劫持投放的。在2023年6月1日发布报告时,卡巴斯基还没有展开样本分析,进行的是攻击流量和行为分析(卡巴斯基真正的样本分析成果发布于2023年12月),而安天曝光的是一个早期捕获的iOS样本的储备报告。这是两组独立的分析成果,我们只是为国际同行打了一个助攻而已。
4.拦截失控的分身
带给全球网络安全工作者巨大压力和干扰的,并不只是A2PT攻击本身。如果从事件的数量、攻击的范围这种统计学指标来看,美方对网络军备扩散的纵容和网络军火管理失控导致的网络黑产与犯罪给全球带来了更大的麻烦。
2015年,我们发现一例针对中国某机构的APT攻击事件[10]。从最开始捕获的加密数据包,到后来发现其利用注册表数据块完成的持久化,我们都以为这是一起A2PT组织发起的攻击,但直到将其导入到安天赛博超脑平台进行同源性比对后才发现:这是由美国企业发布的自动化攻击测试平台Cobalt Strike生成的攻击载荷,被利用来对我们发动攻击。
图 4‑1样本模块与Beacon生成模块的对比分析图(2015.5)
图 4‑2对Cobalt Strike创始人军事背景的分析(2015.5)
安天在报告中指出“网络空间已经存在严峻的网络军备扩散风险,超级大国能否合理控制自身网络军备发展的速度和规模,并对因自身未有效履行责任而使网络领域发生可能的军备扩散,进行有效的干预和控制,是我们能否达成一个更安全的网络世界的关键因素。”
结果一语成谶。时隔两年,美方便带给全球一次更大的麻烦,因美方的影子经纪人泄露事件导致使用“永恒之蓝”漏洞的WannaCry蠕虫事件,该蠕虫仅利用美国NSA“网络军火”中的“永恒之蓝”(Eternalblue)漏洞,就制造了一场遍及全球的巨大网络灾难。
尽管我们在2016年的网络安全威胁年报[11]中,对勒索病毒有可能和蠕虫合流的趋势做了预判,但我们并没有想到几个月后就以如此迅猛的方式表现。尽管如此,在针对WannaCry的溯源判断上,我们还是坚持了中国网络安全工作者的客观和严谨。虽然其使用的高级漏洞利用工具毫无疑问的来自美方的武器泄露,我们依然依靠WannaCry的历史样本同源等多组线索,向中国网络安全应急组织给出了我们对于WannaCry的来源判断,以及其并非由美方开发的结论。但这一结论并不意味着,包括中国用户在内的WannaCry受害者不需要追究美方网络军备失控的责任,包括这起事件让安天作为中国应急体系重要的企业节点,不得不展开72小时连续紧急响应,并支撑了长达数十天综合处置的投入。
图 4‑3安天响应WannaCry事件跟进时间表(2017.5)
而“影子经纪人”泄露带来的相关风险并非只有一个“永恒之蓝”,其每一个漏洞利用工具都对信息系统有着巨大风险,为此我们发布了关于系统化应对NSA网络军火装备的操作手册[12]并绘制了这些漏洞的风险图谱,见下图。
图 4‑4泄露的NSA网络军火装备与相关漏洞、系统版本关系图(2017.5)
回顾这些工作,有助于澄清对中国网络安全工作者分析APT攻击目标的刻板偏见。帮助自己的客户应对好安全威胁、防范好安全风险,才是我们工作的第一维度;指认攻击方和麻烦制造者,只是我们分析成果的价值之一。
5.绘出狰狞的全貌
A2PT攻击与其他网络攻击最大的不同,是其攻击活动并不是简单的漏洞与恶意代码的组合,而是依托庞大的情报工程体系进行的复杂作业。想要完整地理解A2PT攻击,就不可能不去分析这个庞大的工程体系,而显然这种分析从理论上就无法通过现场环境、样本、漏洞和战术利用来完成。
SentinelOne报告对中国网络安全工作者最滑稽的嘲笑,是认为我们的全部工作或者来自于对国际其他安全机构分析成果的跟进模仿,或者依赖于美方自己情报机构的破窗效应带来的一系列的信息泄露,包括斯诺登、“影子经纪人”、维基解密等等。从我们前面所介绍的经历,就可以看到中国网络安全工作者在分析工作中有自己独创的成果。但面对这些庞大的工程体系,如果没有斯诺登和维基解密,就不可能让世界人民看到这只鹰鹫的全貌。
2017年,安天发表系列文章,深度解析斯诺登泄露文件中的“星风”计划项目等。安天报告梳理了美方大量的信号情报获取项目和计划,分析美方通过大型海底光缆监听、重点特殊区域监听、计算机网络利用(CNE,即网络入侵)、卫星监听和第三方情报共享等方式,获取各类信号情报,实现对全球目标的完整画像,从而形成比较精准的目标定位能力,为美方从战略层面构建网络空间霸权到微观层面实施网络攻击,形成了超级工程支撑。
图 5-1 安天对“星风”计划项目结构分析(2018.3)
表 5‑1美方网空工程、项目、计划(2017.6)
中文名称 | 英文名称 | 功能/对象 | |
情报体系 | 湍流架构 | TURBULENCE | 针对全球目标的自动化攻击和情报获取 |
风停 | WINDSTOP | 监听、获取数据 | |
肌肉 | MUSCULAR | 海外窃听、获取数据 | |
香炉 | INCENSER | 监听、获取数据 | |
混乱系统 | TURMOIL | 被动情报收集系统 | |
涡轮系统 | TURBINE | 主动情报收集系统 | |
X关键得分项目 | X-KEYSCORE | 数据采集分析系统 | |
梯队系统 | ECHELON | 情报收集并分析 | |
公正观察 | FAIRVIEW/US-990 | 获取电话元数据 | |
风暴酝酿 | STORMBREW/US-983 | 获取美国国境国际电缆、路由器和交换机数据 | |
花言巧语 | BLARNEY/US-984 | 获取全球网络情报数据 | |
栎树明星 | OAKSTAR | 拦截电话和互联网通信数据 | |
灯芯绒系统 | PINWALE | 收集和检索数字情报 | |
主核 | MAINCORE | 针对外国手机用户的大众监视 | |
舞动绿洲 | DANCINGOASIS | 监听欧洲、亚洲远东地区的光缆数据 | |
海螺 | SHELL TRUMPET | 收集元数据 | |
数字采集系统网 | DCSNet | 数据接入分析系统,监听、存储、分析美国本土手机、固定电话 | |
精灵项目 | GENIE | 网络数据和信号情报获取,直接攻击 | |
神秘计划 | MYSTIC | 拦截、存储和分析电话记录的数据系统 | |
奔牛/边山 | BULLRUN | 监听加密数据,并解密 | |
碟火 | DISHFIRE | 全球移动数据监控收集系统 | |
细线 | THINTHREAD | 拦截并分析互联网流量 | |
开拓者 | TRAIBLAZER | 获取数据并整理(2006年停止) | |
神奇灯笼 | MAGIC LANTERN | 键盘记录软件:获得加密软件的密码和密钥 | |
食肉动物系统 | CAMIVORE/DCS1000 | 获取ISP服务器数据 | |
光塔 | MINRET | 监听反政府人士、反恐人士 | |
棱镜项目 | PRISM/US-984XN | 监听、获取数据 | |
主干道项目 | MAINWAY | 通信元数据收集 | |
码头项目 | MARINA | 互联网元数据收集和分析 | |
核子项目 | NUCLEON | 全球电话内容进行监听、分析和存储 | |
特等舱 | STATEROOM | 拦截关于间谍行为、核武器、恐怖主义和毒品运输等敏感信息 | |
老鹰哨兵 | SENTRY EAGLE | 信号情报收集,通过部署防御体系发现并报告异常网络活动 | |
瑞晶 | REGIN | 高复合间谍软件,用于大规模数据采集和情报收集 | |
拱形计划 | CamberDADA | 主要对以俄罗斯卡巴斯基公司等为主的目标进行监控,以获取新的病毒样本及其他信息。 | |
陷入泥潭 | DROPMIRE | 监听欧盟驻华盛顿大使馆内的加密传真机 | |
三叶草 | SHAMROCK | 为美国总统收集情报 | |
滑翔桨手 | SKIDROWE | 针对外国卫星通信的信号情报作业项目 | |
攻击体系 | 湍流架构 | TURBULENCE | 针对全球目标的自动化攻击和情报获取 |
量子项目 | QUANTUM | 攻击机制、入侵工具集 | |
狐酸系统 | FOXACID | 能够以各种不同方式攻击目标计算机的系统,NSA的内部代号为“漏洞协调器” | |
精灵项目 | GENIE | 网络数据和信号情报获取,直接攻击 | |
怪物大脑 | MonsterMind | 反入侵软件系统,开展自动化防御和攻击 | |
支撑体系 | 优先 | PREFER | 碟火项目的配套分析工具 |
ICREACH架构 | ICREACH | 美国最大的情报系统,类似于谷歌的搜素引擎 | |
无尽线人 | Boundless Information | 大数据分析、统计和展示平台 | |
藏宝图 | TREASUREMAP | 提供通用网络作战图,态势感知等 | |
计划/项目 | 星风计划 | STELLARWIND | 目标为美国本土和公民,主要收集元数据 |
上游项目 | UPSTREAM | 拦截来自互联网骨干网络(包括支持在美国内外通信的高容量电缆、交换机和路由器等)的电话和网络流量 | |
石头鬼冢 | Stone Ghost | 五眼联盟国家间共享和交换数据 |
我们后续的工作是需要分析这些工程体系和A2PT攻击中的攻击平台、高级恶意代码、漏洞利用工具战术运用连接起来进行猜测分析。包括在前端攻击中值得关注的是信号设备,这些信号设备本质上不是一种传统的网络作业装备,是从传统的电磁作业装备传承而来的。也就是说,从美方情报机构来看,没有真正意义上的网络攻击的概念,美方只有情报作业和军事打击两个概念。所谓的“CNE/CE”只是其在众多体系和装备中的一个路径选择。
图 5‑2网络攻击的装备体系、支撑体系和作业方式图(2018.1)
除此以外,还需要关注这套体系的运营机制,包括它为什么可以获得如此丰沛的漏洞和技术。长期以来尽管有很多合理的猜测,但缺少深入的梳理,包括像Pwn2Own这样的黑客大赛活动与美方的情报机构到底有何关联。
图 5‑3 方程式组织的资源运营和作业关系图谱(2023.6)
基于泄露出来的海量信息对美方情报工程体系进行梳理分析,是中国安全从业者基于国际主义责任视角来完成的。通常来看,多数安全企业分析曝光攻击活动,更多的都是为了通过自身的威胁发现能力,推广自身的产品和服务。而显然如此庞大的体系攻击,需要构建高水平动态综合的防御体系和大量的资源投入,而不是简单部署产品和购买服务能防范的,我们将分析成果公开也是希望带来这些警示和提醒。
6.还原完整的现场
2024年初,有一些A2PT组织的历史攻击活动的细节被进一步曝光[13],例如美国情报机构买通荷兰工程师,在赴伊朗进行工业系统安装维护过程中,向伊朗投放震网病毒。“美方进行的网络攻击在针对他国物理隔离体系、或高价值目标时,往往采用人力、电磁等手段对网络攻击进行辅助,有鲜明的混合作业特点。”显然攻击活动先天就不存在TCP/IP层面完整链条,面对这种混合攻击即使在内网捕获到了横向移动的数据包,本身也无法构成技术层面的指向作用。
同时,A2PT和APT的区别不只是前端利用漏洞和样本的复杂性,而是依托于巨大的作业方的体系,本身构筑了美方在网络攻击活动的作业形式,支撑了相关的反溯源性,构造了大量劫持第三方的武器,使美方可以将攻击流量混入到正常流量中去。同时也可以利用对海底光缆等劫持手段回收所窃取数据。显然A2PT的这种混合作业、无需在互联网闭环的范式,给了SentinelOne报告索要PCAP包证据的底气,如同一个恶霸对着被自己用枪打伤的被害人说,“来,你拿出我用刀砍你的证据”。
但终究这种混合作业并不是A2PT攻击活动的全部,也终有网络上完成的攻击作业闭环。美方自己的信息记录成为了铁证,正是依靠“影子经纪人”事件中泄露的信息,安天得以把泄露事件信息和历史样本分析结合到一起,完整复盘了“方程式组织”攻击中东最大的SWIFT金融服务提供商EastNets事件[14]。该分析报告在2019年6月发布,是全球网络安全业界分析曝光美方攻击活动中,首个完整还原美方攻击跳板、作业路径、装备运用、战术过程、场景环境和后果的分析报告。
图 6‑1“方程式组织”对EastNets网络的总体攻击过程复盘(2019.6)
安天在报告中总结了美方此次作业使用的攻击装备信息,根据功能目的分为漏洞利用工具和平台类、持久化植入武器类、控制后门类,并对武器功能、适用场景和关联漏洞进行描述,指出美方拥有覆盖全平台全系统的攻击能力和大量的0day储备。
表 6‑1方程式组织攻击EastNets所使用的漏洞利用工具列表(2019.6)
攻击装备名称 | 漏洞编号 | 针对设备及功能 |
未知装备A | CVE-2015-7755 | 未知装备A是针对Juniper ScreenOS(Juniper SSG及NetScreen防火墙产品使用的操作系统)的漏洞攻击装备,在通过SSH与Telnet登录Juniper防火墙时存在身份认证绕过漏洞; |
EPICBANANA | CVE-2016-6367 | EPICBANANA是针对Cisco ASA and PIX设备中command-line interface (CLI)解析器的漏洞攻击装备; |
EXTRABACON | CVE-2016-6366 | EXTRABACON针对Cisco ASA 设备的SNMP服务(端口161、162)漏洞攻击装备; |
ENTERNALCHAMPION | ENTERNALCHAMPION(永恒冠军)是针对Windows Server 2008 SP1 x86等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; | |
ETERNALSYNERGY | ETERNALSYNERGY(永恒协作)是针对Windows 8等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; | |
ETERNALBLUE | CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0148 | ETERNALBLUE(永恒之蓝)是针对Windows 7/8/XP等的“永恒”系列漏洞攻击装备,利用Windows的SMBv1远程代码执行漏洞; |
ETERNALROMANCE | ETERNALROMANCE(永恒浪漫)是针对Windows XP、Vista 7、Windows Server 2003/2008/2008 R2等的“永恒”系列漏洞攻击装备,利用Windows全平台的SMBv1远程代码执行漏洞; | |
EXPLODINGCAN | CVE-2017-7269 | EXPLODINGCAN(爆炸之罐)是利用IIS6.0 webDAV漏洞的攻击装备; |
世界上每个希望完整了解A2PT攻击威胁的人们,都可以阅读一下这篇复盘分析报告。
7.回到时间线——协力的前行
SentinelOne报告用时间线来展示全球网络安全机构对美方的成果发布轨迹,以证明中国厂商不具备首发性,只是对国际厂商的模仿,为了避免视而不见,安天也梳理并补全了其“疏忽遗漏”的安天方面的关键分析报告。时间轴上方是SentinelOne报告内的原始时间线,时间轴下方是其“疏忽遗漏”的我们的部分关键分析报告。我们也在每个时间点上标注了对应关键成果的价值,可以看到这个新的时间线产生了有趣的变化。
图 7‑1 SentinelOne梳理全球分析美方报告时间线及与“疏忽遗漏”安天报告对比
中国和世界上很多国家一样,都是A2PT攻击的受害者,中国的网络安全工作者和揭露过A2PT攻击的全球业界人士一样,都是与威胁斗争的战士。我们是战士,也是学生。我们一直高度认可国际先进厂商在早期分析工作中的表现和对我们所起到的指向作用,并一直对比检讨我们自己的差距。
表 7‑1安天在技术报告中反思自己在分析中与国际知名厂商的差距(2012.02)
时间阶段 | 时间 | 分析进展 |
① | 2010.06.17 | Virusblokada上报样本 |
2010.07.13 | Symantec检测样本为W32.Temphid | |
2010.07.15 | Kaspersky三篇博文讨论LNK漏洞和签名驱动 | |
2010.07.15 | 安天捕获第一个样本 | |
2010.07.16 | 微软发布LNK漏洞预警 | |
2010.07.16 | Symantec博文介绍Stuxnet基本情况 | |
2010.07.19 | Kaspersky博文介绍LNK漏洞原理 | |
2010.07.20 | Symantec检测到C&C流量 | |
2010.07.20 | Kaspersky博文介绍Stuxnet的证书 | |
2010.07.20 | Symantec博文介绍Stuxnet传播方法 | |
② | 2010.07.19 | 西门子报告Stuxnet攻击其SCADA系统 |
2010.07.23 | Kaspersky发表系列博文Myrtus and Guava的第四篇和第五篇,开始研究工控系统 | |
2010.08.06 | Symantec发布博文称其是第一个针对工控系统的rootkit | |
2010.08.18 | 安天发布一篇样本分析报告 | |
2010.09.21 | Symantec发表博文介绍Stuxnet感染PLC的过程 | |
2010.09.26 | Kaspersky发布系列博文Myrtus and Guava,介绍与伊朗的关系 | |
2010.09.26 | Symantec发布博文,介绍Stuxnet感染Step7工程的方法 | |
2010.09.27 | 安天发布第一版完整大报告 | |
2010.09.30 | Symantec在VB大会上演示PLC系统 | |
2010.10.11 | 安天补充了一篇后续报告 | |
③ | 2010.11.16 | Symantec发布博文,称Stuxnet的攻击目标是伊朗某核电站中铀的浓缩设施 |
④ | 2011.02 | Kaspersky公布对Stuxnet时间戳的关联分析 |
2011.12.28 | Kaspersky公布Stuxnet与Duqu的关联分析 | |
2012.01.23 | 安天完成关于WINCC对铀离心具体影响的有关分析 | |
2012.01.23 | 安天完成Stuxnet与Duqu的同源性分析并发布报告 |
也正是在这种不断的反思中成长,我们逐渐取得了更多的分析成果。随着全球各方十多年来的努力,美方这头网空巨型鹰鹫逐渐在迷雾中显现出来。通过各方披露的组织机构、能力资源、网空工程体系、武器装备、作业手法和运营模式,可以看到美方网空攻击庞大的体系规模与深度的技术能力储备。在这场接力赛中,有人已经退场,欧美厂商早期披露曝光过美方网空样本,但在后续研究中不得不缄默其口。有人始终保持高水平的输出,卡巴斯基则保持始终如一的持续披露。而中国安全厂商也在不断跟进分析曝光中成长,中国安全企业贡献的分析成果已经占有越来越高的比例,在安全厂商和机构的共同努力下,这个庞然大物的全貌逐渐被拼接挖掘出来。
图 7‑2 已披露美方网空武器组成及各安全厂商披露占比
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
尽管自2010年“震网”事件被发现以来,各方对美方的分析曝光不断,但由于美方攻击体系极为庞大,很难独立形成完整分析成果。国际安全业界和研究者,协同接力分析曝光已成常态,分析成果相互补充或相互验证,这种集体协同分析的攻击活动与攻击体系更是全球网络安全学术界和业界对美方网络攻击的一种共同认定。我们梳理了当前全球网络安全机构对美网空能力及武器分析资料,以桑基图形式绘制了相关图谱,从下图可以看出全球网络安全机构彼此接力、协同分析美方间谍机构活动的分析历程,全球网空机构共同尝试解密美方的网空魔兽。
图 7‑3全球安全厂商对美网络攻击及活动分析梳理
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
图 7‑4全球安全厂商对美系列网络攻击活动分析梳理(甘特图形式)
(安天根据赛博超脑平台积累的各方报告统计,如认为有统计问题,请与我们联系)
与这样的网空魔兽进行斗争,本身就需要莫大的勇气,也可能面临各种综合风险,我们的统计数据来自我们赛博超脑平台对各方分析报告成果的自动统计,可能并不完整,没有完整体现同仁的分析结果,我们会根据反馈修正。列举数据不是为了证明我们的能力有多强,而是为了说明:分析巨型鹰鹫,需多方协作、共同努力。
8. A2PT分析的意义和规律
APT的含义是高级持续性威胁,高级(Advanced)既说明攻击方的能力、资源、战术等要素,也是与攻击方与防御方之间的不对称性和“高度差”;持续性(Persistent)是攻击方战略意图甚至是战略定力的体现。这种持续不只包括在战术层面长期等待突防窗口的出现;达成持久化后,长期的维持控制连接和信息窃取;更表现为在长期战略下,面对防御和猎杀,反复地重新部署、调整以及攻击武器的升级,支撑攻击的工程体系不断迭代。APT生命周期可能长达数十年。
正因为APT是这样一个长期持续的作业过程,也使识别、塑造、防护、检测、响应等防御活动都必然是持续的迭代过程。基于线索和假设,通过动机、战术、武器、风险等方面的综合分析,深入了解威胁活动,改善防御部署、生产规则策略和威胁情报,提升安全产品和服务,才是我们进行APT分析工作的主要价值。
公布分析成果,曝光APT活动只是我们全局工作中的一个环节,是为了让客户和公众了解威胁形势,实现战略和技术情报的更大范围共享,在更大范围内做出响应,提升攻击者的成本。揭露和分析也不可能是一次性的工作。与此同时,为了更深入地发掘复杂攻击活动的规律特点,寻找脉络和关联,也必须将APT分析作为一种持续性的研究活动,在历史陈旧的海量样本和线索数据中与新的条件、样本进行关联,寻找关联、发现疑点、解答问题。因此,APT分析成果的价值,并不完全取决于谁先发布曝光了初始线索,也更多看谁能更持续地推动了防御能力迭代,谁能保持长期的研究定力。
显然,分析A2PT攻击,比分析通常意义上的APT攻击难度更大,需要更强的耐心定力、更大的资源投入、更强的分析能力。我们将来自美方情报机构的攻击称之为A2PT,是基于作业能力特点的总结。这并非我们的一家之言。我们来看来自国际研究者的说法。Mike Cloppert在Why Stuxnet Isn't APT[15]一文提的观点是“Stuxnet的复杂程度非常高。该代码相对难以进行逆向工程,包含一个PLC rootkit、多个零日漏洞以及可以在具有不同芯片组的处理器上运行的代码。通常情况下,APT入侵中的二进制文件相对简单,并且最常在客户端应用程序中利用单个漏洞。”
防御A2PT攻击是巨大的挑战,而曝光A2PT攻击同样是巨大的挑战。中国不只是网络攻击的受害者,在西方所把持的国际舆论场中,中国是一个弱势方。当中国网络安全企业孤独的发布一篇分析报告的时候,往往不会引发任何关注。我们在2014年前的分析成果莫不是如此。因此中国安全企业在取得分析成果后,往往不选择立即公开,而是等待国际研究者发布相关成果时再进行跟进,正是依靠沉淀和积累形成分析成果储备,在2015年后我们的分析报告才能快速紧随国际同行保持步伐一致。与此同时,中国文化是内敛自省的。中方机构不会像美方机构那样通过鼓吹受害去游说预算投入,也并不认为遭受攻击是一件值得宣扬的事情,因而我们在分析成果中也不会直接发布具体受害机构数据。
但在全球安全业界揭开这只巨大鹰鹫面纱的过程中,我们贡献了独有的价值和关键支点作用,是在整个斗争中接力的关键一棒。我们工作的首要目的并不是创造指控。对于安全企业自身,是改善产品的检测、防护能力,以提供更好的保护;对于面临A2PT风险的国家和地区来说,是深度认识这些攻击将带来怎样的风险,该怎样展开应对。
试图通过所谓的没有看到PCAP包就把早已揭开的恶行进行归零,是没有意义的。美方建设了全球最庞大的攻击基础设施,研发了覆盖全场景、全平台的网络攻击武器、构建了规模最大的网络攻击团队。不仅持续发动了一系列网络攻击,也实施了多起滥用供应链上游优势,预置脆弱性、削弱标准的恶意活动。美方应该做的是,主动承诺约束其网络空间攻击行为和监听行动,承诺不滥用供应链上游优势和数据采集能力,对其他国家做出安全保证,而不是自恃手段高明可规避受害方的发现来维护其持久的网络霸权。
9.小结:晨光终将射穿迷雾
SentinelOne报告包裹了太多的傲慢,作为一个显而易见的“旋转门”机构,我们深知其背后力量的强大;从“广场协议”到长臂管辖,从法国的阿尔斯通到中国的华为,当有任何一个民族因勤奋的耕耘取得了令鹰鹫艳羡的收获时,这个力量的打击就会如约而至,A2PT攻击只是这些打击活动中很小的一部分。但世界上没有任何一个机构或企业能够独立对抗这种攻击,即使是被视为欧洲网络安全最强力量的卡巴斯基,都至少遭遇了被NSA的CamberDaDa计划列为监听目标,被“毒曲2”入侵,源代码被窃取,关键人员iOS手机被植入木马等多波打击。
甚至可以说,不要说是一家安全企业,世界上多数国家的整个安全产业,都不足以对抗这个庞然大物。因此总有人试图提醒我们:这种力量的悬殊,就像原始部落的人类面对着奥林匹斯山上的诸神,让我们不要反抗,但我们依然希望解开A2PT攻击的真相。在东方的传说里,愚公终可以移走大山;在西方的神话里,普罗米修斯会把火种带到人间。而美国情报机构包括他们的“旋转门”机构就像来啄食普罗米修斯内脏的鹰鹫,不仅要持续伤害,还要束缚住被伤害者的双手,使之不得反抗。当施加伤害的一方将被害方能力的不足作为一种原罪来奚落的时候,我们看到的是两百年来的殖民者与侵略者习惯的傲慢,将被殖民、被侵略和被伤害者没有足够的反抗实力视为一种原罪。
当基于上帝模式作业,依托其庞大的情报工程体系、大规模建制化的攻击队伍、覆盖全平台全场景的攻击武器,基于人力、电磁和网空混合作业的A2PT攻击者,自以为可以“杀人于无形”,“事了拂衣去”,又反过来嘲笑被攻击方时,我们是不是读到了两百年来同样的剧本。
施害者不因施害的高明而高贵,反抗者不因反抗的艰难而卑微。
施加侵害是一种事实,遭遇伤害也是一种事实,这就是我们工作所还原的真相。
晨光终将射穿迷雾!
附录一:参考资料
[1] China’s Cyber Revenge | Why the PRC Fails to Back Its Claims of Western Espionage
[2] 对Stuxnet蠕虫的后续分析报告
https://www.antiy.cn/research/notice&report/research_report/20101011.html
https://www.antiy.com/response/20190930.html
[4] Flame蠕虫样本集分析报告
https://www.antiy.com/response/flame/Analysis_on_the_Flame.html
[5] 探索Duqu木马身世之谜
https://www.antiy.cn/research/notice&report/research_report/261.html
[6] 修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件
https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
[7] 方程式(EQUATION)部分组件中的加密技巧分析
[8] 从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析
https://www.antiy.com/response/EQUATIONS/EQUATIONS.html
[9] “量子”系统击穿苹果手机——方程式组织攻击iOS系统的历史样本分析
https://www.antiy.com/response/EQUATION_iOS_Malware_Analysis.html
[10] 一例针对中方机构的准APT攻击中所使用的样本分析
https://www.antiy.com/response/APT-TOCS.html
[11] 2016年网络安全威胁的回顾与展望
https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[12] 安天关于系统化应对NSA网络军火装备的操作手册
https://www.antiy.com/response/Antiy_Wannacry_NSA.html
[13] Sabotage in Iran: een missie in duisternis
https://www.volkskrant.nl/kijkverder/v/2024/sabotage-in-iran-een-missie-in-duisternis~v989743/
[14] “方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告
https://www.antiy.com/response/20190601.html
https://www.sans.org/blog/why-stuxnet-isnt-apt/
如若转载,请注明原文地址