从被忽视的细节中提炼防御的准则——“震网”攻击曝光15年再思考之技术篇
时间:2026年03月06日 作者:安天
历史不容假设,但需要回溯研究——报告背景说明
2026年2月28日起(伊朗当地时间),美以联军对伊朗发动代号为“史诗狂怒”的大规模联合军事行动,对伊朗境内大量目标实施轰炸空袭[1]。同日,伊朗方面确认,最高领袖哈梅内伊在空袭中遇害。
美军参谋长联席会议主席丹・凯恩表示[2],美国网络司令部与太空司令部是“率先行动者”,对系统提供“叠加非动能作战效果”以提供支援。他在五角大楼的新闻发布会上称:“协同开展的太空与网络作战,有效瘫痪了责任区内的通信与传感器网络,令对手丧失有效侦察、协同与反击能力。”
因此,我们也不得不将目光重新投射回2010年被曝光的“震网”攻击事件,这一事件在较长时间内阻塞了伊朗的核发展进程。让很多人不免猜想,如果当年那场网络攻击未能实施成功,伊朗是否会成为拥核国家;如果其成为了拥核国家,中东格局、包括全球力量版图将是怎样的局面;以及如果伊朗掌握了核武器,今天的一幕是否会发生。历史不容假设,但需要回溯研究。我们秉承反对核扩散,支持和平利用核能的立场,但同时也反对武力干涉和单边制裁。我们无论从最初的分析跟进,还是此时的温故知新,是希望呈现网络空间力量在战争运用的深层逻辑。
2010年6月,“震网”病毒被曝光。安天自2010年7月15日起展开对“震网”的分析工作,搭建了还原沙盘,分析了其基本原理[3]、USB摆渡机理[4]、对WinCC的作用机制[5]等内容,发布了多篇分析报告,并进一步针对火焰(Flame)[6]、毒曲(Duqu)等病毒与震网的同源性[7]等问题,进行了持续数年的跟踪分析。到2019年,我们发布了《震网事件的九年再复盘与思考》[8]。2025年6月,美方轰炸伊朗核设施,且适逢“震网”事件曝光十五周年之际,安天应急响应中心、安天战略情报中心联合完成了《“震网”攻击事件的15年再思考》三篇系列报告,分别为技术篇、战术篇与战略篇,决定作为内部成果,不做公开。我们随后关注到,同年7月22日,美国网络安全和基础设施保护小组委员会也以“全面运作:‘震网’病毒15年后以及网络威胁对关键基础设施的演变”为题举办听证会。
2026年1月6日,针对美国入侵委内瑞拉、绑架马杜罗总统夫妇,安天发布了《美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析》[9]等报告,在事件的网空可见度极低的背景下,从能力体系评估和行为体范式出发,对相关事件进行了谨慎推演分析。安天战略分析人员对特朗普政府的新军事行动特点的概括是:“抗拒大国战争,恐惧干涉主义泥潭。但通过快速且相对低成本的‘特种作战’实施‘斩首行动’,完成对反美国家的政权更替,既可以避免陷入原美国干涉主义可能带来的战争泥潭,同时又可以宣示其势力控制范围。在选择这种效费比更高的符合美国战略利益行动方式的前提下,特朗普政府可能具有比其他总统更强的冒险主义特点。”
本次从伊朗局势紧张开始,业内就有声音希望安天CERT继续跟进,但我们讨论后决定不发布公开的技术分析,安天战略情报中心则计划在拟开通“网空战情参考”公众号时,在发刊词中谈部分观点和判断作为回应。
对于本次美以轰炸伊朗的行动,一方面需要看到美以通过基于超强的情报能力和压制性实力,达成了一部分的预设行动目的,从战术和技术上,需要高度重视和分析其能力和运用过程;但另一方面也没有必要将其夸大塑造为新的神话。为此我们决定,公开去年《“震网”攻击事件的15年再思考》三篇报告中的技术篇,报告基于“震网”事件没有得到足够重视的关键信息的回顾,提炼了若干网络安全攻防对抗的工作原则,同时也以“震网”事件发生时的安全能力视角梳理“震网”攻击,说明攻击致效并非完全来自于攻击方能力的高超,也来自于防御方的能力缺失和意识淡漠。这是一个打破神话、祛魅归真的过程思考。我们希望在纷乱繁杂的信息中,带来一份源自网络安全业界视角、坚持长期战略定力的声音。同时我们希望说明的是,我们的分析成果发布与否来自于我们自身作为中国网络安全企业责任的判断和理解,而并不是SentinelOne某位同行替我们做的“受到某种压制”的解读。我们同时感谢杰克·保尔森(Jack Poulson)公开发表的揭秘报道,披露美情报承包商对我们的画像分析,以及将我们的分析工作类比于“维基解密”,借蓬佩奥(Michael R. Pompeo)在担任CIA局长期间,提出暗杀阿桑奇(Julian Assange)一事,对我们的人身安全进行风险提示。
我们相信对“震网”事件的“复盘”,会让中国和国际网络安全工作者,从历史的坐标中汲取教益和养分——包括对攻击活动与技术的全面理解,更是关于防御规律的认识与迭代。以提升我们自身的安全能力,为应对未来的威胁做好准备。
1.被神话的“震网”
随着“震网”事件在2010年曝光,已经过去了15年。从网络安全对抗到军事历史上,这都是一个里程碑事件,其证实了“网络攻击可以转化为物理空间的影响,包括与火力打击局部的等效性”。这的确是开启了网络战争魔盒的里程碑式事件,但与此同时,其也带来了诸多“神话”式的标签,也有很多与事实不符的传闻,这些都混杂在对“震网”事件的认识里。以至于当人们谈论“震网”时,往往不能准确客观的基于真实技术过程,而是在谈论一个被构建出来的神话。十五年过去了,“震网”从一种现实的威胁演变为一个研究的标本。但其揭示的关于攻击的本质、关于防御的逻辑、关于安全的本质都依然没有改变。
“震网”作为“突破了物理隔离网络”的典范案例,其初始进入过程就曾被误判。在2010年,安天CERT首次参与多方对“震网”研讨的时候,参与讨论的相关欧洲工控厂商技术人员对“震网”如何渗透到工业系统内网的解释是,有可能是在相关的机构附近,大量散播掉落带有“震网”病毒的U盘,然后被人员误用传递到网络内。而部分讨论者采信了这种明显不合理的可能性,认为“震网”进入到内网,是“撞大运”式的捕获机会性窗口的概率性事件。但是,数年后才曝光的由荷兰维护工程师定向带入U盘攻击的实际情况,却不为人所知。
“震网”攻击的驱动程序中,使用了从Realtek(瑞昱)和JMicron(智微)两家中国台湾厂商窃取的合法数字签名证书,帮助它绕过了Windows系统的驱动签名验证,加之“震网”代码中,存在判断杀毒软件进程针对性绕过的代码,强化了“震网”的针对性突防影响。“震网”攻击的隐蔽性,也被夸大了,由于其使用了Rootkit手段以使其关键模块落地后,无法在资源管理器中被看到,以至于其被很多人认为发现“震网”的主机活动是非常困难的。而由于其对自身的代码和配置使用的复杂加密手段,这种印象也被传递到其网络活动,认为其在横向移动过程中,是难以被观测和发现的。但实际情况可能是,在目标的部分主机上没有部署任何主机安全软件,更没有部署内网的流量监测分析能力。关于“震网”最大的传说是,这是一起完全基于0day漏洞组合使用完成的攻击,于是其加剧了一种防御认知,即将防御高级持续性威胁的关注度完全聚焦在“未知漏洞”这一命题上,而忽略了实际情况和攻击载荷(执行体)的作用。
以上种种误判,实际上在包括安天在内的大量历史分析和曝光信息中,早已被证实与真实情况不符。但由于惯性的强大,这些真实的细节,在公众认知中被屏蔽了。因此我们要强调另一个版本的“震网”:它是一个网络攻击工程的杰作,但它并非有无懈可击的完美过程;它开创了针对工业控制系统的攻击先河,但它也非不可防御的神话。“震网”之所以能够长驱直入,并非单纯的基于其攻击技术的高明,也同样因为目标系统,除物理隔离措施以外,本身处于近乎不设防的状态。
没有绝对安全的系统,但也没有完全无解的攻击。这才是辩证法!
1.关于一些已经被揭示,但并未得到重视的细节
我们将本篇报告标题定名为《从被忽视的细节中提炼防御的准则》,是希望把在历史分析中早已验证和解释,但被那些先入为主的、刻意神话的判断淹没的细节重新梳理提及,以重新打破那些固化的刻板偏见。
2.1 人工定向接触突破——而非捕获小概率窗口
在任务目标明确,攻击方有明确的攻击意志和充沛的资源,且已经消耗了大量的工程和准备成本的攻击活动中,当然也需要捕获作业窗口。但其显然不会采取一种机会主义的方式,导致攻击可能在未达成前就暴露,而是要确保突防的成功。“震网”突破到铀离心设施网络内部的真实原因,尽管从2010年的分析中,就已经找到USB摆渡和内网横向移动的功能代码。但直到2019年,才在媒体报道《独家披露:荷兰秘密线人如何协助美以对伊朗发动震网(Stuxnet)网络攻击(Revealed: How a secret Dutch mole aided the U.S.-Israeli Stuxnet cyberattack on Iran)》[10]中被揭示出来。而此时“震网”事件已经没有足够的热度,导致依然有很多人并不了解“震网”突防是如何完成的。
2007年,美中情局与以色列摩萨德为突破伊朗纳坦兹铀离心设施物理隔离,策动秘密渗透行动,招募荷兰籍西门子工程师埃里克·范·萨本(Erik van Sabben),以其合法身份作掩护,用U盘将“震网”病毒初始感染载体植入内网控制系统。事后调查发现,埃里克此前已被荷兰情报部门发展为线人,但美对其隐瞒“震网”任务细节,荷兰情报机构也未知完整方案。“震网”攻击是分析者的命名,其在美方情报机构的内部任务代号为“奥林匹斯”行动,基于美以多年技术与战术准备,获两届美国政府批准。这一人工渗透环节,具有极高的战术价值。任务完成后,“震网”致使纳坦兹近千台铀浓缩离心机故障,伊朗初期误判攻击性质,将其作为故障处理,未进行应急响应。2009年1月,埃里克在阿联酋沙迦遇交通事故身亡。同年春季,美以技术团队升级“震网”病毒,使其具备自主传播能力,实现二次渗透。
2008年前后,美NSA已经列装了专用的USB攻击设备CottonMouth(水蝮蛇),目前可以初步判断在2007年1月NSA已经具备了USB自动插入运行投放的能力。因此其载体设备是只拷贝了“震网”病毒的普通USB设备,还是类似“水蝮蛇”的自动化触发的攻击装备,尚未为人所知。在人员可接触终端前提下,固然其可以实现手工运行,但如果使用类似CottonMouth的设备长期插入U口,不仅可以实现自动植入操作。而且可以形成一种基于外设的持久化能力,类似CottonMouth-II(水蝮蛇)还可以实施一定距离(开放地带13公里左右)的通讯,以构建抵近控制的中继节点。
图2-1 美方"水蝮蛇"基于外设植入攻击装备(推测约2008年前后列装)
2.2 存在多种主机可见痕迹——而非踏雪无痕
“震网”病毒具备多种防御规避能力,例如感染条件判断、定期自毁、根据系统安装安全软件执行不同操作、Rootkit技术、盗用数字签名等,可以完整绕过当时的系统安全机制和主流安全软件,但通过分析其感染后的主机端和网络侧行为痕迹(见下表),也并不是毫无破绽。如:注册驱动、注入进程、内网短时间频繁通信、连接互联网域名、移动存储设备文件写入、Hook系统API函数等,均为高风险行为痕迹,即使不直接告警,通过日志记录留存配合定期安全运营,也是可以发现蛛丝马迹、发现相关异常,减少被持久攻击的损失。伊朗当时的具体IT环境我们不可知,但从现实结果来看,伊朗并没有及时发现“震网”病毒,而是让其从最早攻击波次起,存在了两年多的时间。
表2-1 “震网”样本执行后部分典型行为痕迹表:
|
行为类型 |
具体内容 |
|
文件创建 |
%WinDir%\inf\mdmcpq3.PNF %WinDir%\inf\mdmeric3.PNF %WinDir%\inf\oem6C.PNF %WinDir%\inf\oem7A.PNF %WinDir%\inf\oem7F.pnf %WinDir%\inf\oem7w.pnf %WinDir%\inf\~67.tmp %System%\drivers\mrxcls.sys %System32%\drivers\mrxnet.sys %System%\drivers\usbacc11.sys %System%\drivers\PCIBUS.SYS %System%\comuid.dat %System%\netsimp32.dll %System%\inetpsp.dll %System%\perfg009.dat %WinDir%\msagent\agentsb.dll %WinDir%\msagent\intl\agt0f2e.dll %System%\complnd.dll %System%\dllcache\datacprs.dll %System%\wbem\perfnws.dll %WinDir%\Installer\{6F716D8C-398F-11D3-85E1-005004838609}\places.dat %System%\dssbase.dat %AllUsersProfile%\Application Data\Microsoft\HTML
Help\hhorcslt.dat %Temp%/DF419a.tmp %WinDir%\help\winmic.fts Removable Disk\AutoRun.inf Removable Disk\~WTR4141.tmp Removable Disk\~WTR4132.tmp Removable Disk\Copy of Shortcut to.lnk(4个副本) |
|
注册表创建、读取 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sbacc11 HKEY_USERS\<SID>\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellRecoveryState |
|
网络行为 |
回连C2服务器 局域网内P2P点对点通信 RPC远程执行漏洞(MS08-067) 网络攻击利用 打印后台处理程序服务漏洞(MS10-061)网络攻击利用 WinCC默认密码漏洞(CVE-2010-2772)网络攻击利用 |
|
系统行为 |
遍历进程 注入系统进程 Hook系统API函数 获取系统时间 |
“震网”病毒感染主机后会衍生大量文件,安天CERT总结了文件的路径、格式、签名情况和功能(见下表)。其中包括加密配置文件、加密模块,但也有未加密的DLL、SYS、LNK等文件。除了若干加密文件外,其中两个驱动(SYS)文件存在有效数字签名,这两个驱动文件是“震网”能够持久化、规避检测和自启动的核心模块,通过这两个驱动完成了主模块的加载和相关文件的隐藏。若干DLL文件负责P2P网络、C2通信、USB传播初始加载器和主模块等功能。还有4个LNK文件和2个DLL文件会释放到接入的移动存储设备中,使用LNK漏洞发起“摆渡”攻击。“震网”是一个蠕虫类型的病毒,其在内网中的感染量是很大的。以上相关文件载荷均在被感染主机终端中以文件形态存在。其中多数文件并未被Rootkit隐藏,通过安全软件是可以监测捕获到的,肉眼亦可观测。虽然相关文件对于安全软件是未知属性,但对于这样一个相对稳定的内网主机环境,实际上结合有效的安全运营是可以发现相关攻击的痕迹,基于大量文件增加、产生蓝屏主机、内网通信等线索定位受害主机并处置相关风险的。
表2-2 “震网”感染主机后落地文件详情
|
文件路径名 |
文件格式 |
签名情况 |
功能 |
|
%WinDir%\inf\mdmcpq3.pnf |
加密16进制 |
无 |
配置数据和主机信息 |
|
%WinDir%\inf\mdmeric3.pnf |
加密16进制 |
无 |
P2P更新配置数据 |
|
%WinDir%\inf\oem6C.pnf |
加密16进制 |
无 |
日志数据 |
|
%WinDir%\inf\oem7A.pnf |
加密16进制 |
无 |
加密的“震网”主模块 |
|
%WinDir%\inf\oem7F.pnf |
加密16进制 |
无 |
|
|
%WinDir%\inf\oem7w.pnf |
加密16进制 |
无 |
加密的安装模块 |
|
%WinDir%\inf\~67.tmp |
加密16进制 |
无 |
加密的安装模块 |
|
%System%\drivers\mrxcls.sys |
BinExecute/Microsoft.SYS |
有 |
持久化自启动模块 |
|
%System32%\drivers\mrxnet.sys |
BinExecute/Microsoft.SYS |
有 |
Rootkit隐藏模块 |
|
%System%\drivers\usbacc11.sys |
BinExecute/Microsoft.SYS |
无 |
C2模块、P2P模块加载驱动 |
|
%System%\drivers\PCIBUS.SYS |
BinExecute/Microsoft.SYS |
无 |
定时引起蓝屏强制重启模块 |
|
%System%\comuid.dat |
未知 |
无 |
未知 |
|
%System%\netsimp32.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新通信模块 |
|
%System%\inetpsp.dll |
BinExecute/Microsoft.DLL |
无 |
C2通信模块 |
|
%System%\perfg009.dat |
未知 |
无 |
未知 |
|
%WinDir%\msagent\agentsb.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新共享文件 |
|
%WinDir%\msagent\intl\agt0f2e.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新共享文件 |
|
%System%\complnd.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新共享文件 |
|
%System%\dllcache\datacprs.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新共享文件 |
|
%System%\wbem\perfnws.dll |
BinExecute/Microsoft.DLL |
无 |
P2P更新共享文件 |
|
%WinDir%\Installer\{6F716D8C-398F-11D3-85E1-005004838609}\places.dat |
未知 |
无 |
P2P更新共享文件 |
|
%System%\dssbase.dat |
未知 |
无 |
日志文件 |
|
%AllUsersProfile%\Application Data\Microsoft\HTML
Help\hhorcslt.dat |
未知 |
无 |
未知 |
|
%Temp%\DF419a.tmp |
未知 |
无 |
未知 |
|
%WinDir%\help\winmic.fts |
未知 |
无 |
Step7感染的配置文件 |
|
Removable Disk\AutoRun.inf |
Text/ISO_IEC.UTF8 |
无 |
USB传播AutoRun配置文件 |
|
Removable Disk\~WTR4141.tmp |
BinExecute/Microsoft.DLL |
有 |
USB传播初始加载器和Rootkit |
|
Removable Disk\~WTR4132.tmp |
BinExecute/Microsoft.DLL |
无 |
主模块文件 |
|
Removable Disk\Copy of Shortcut to.lnk(4个副本) |
SoftData/Microsoft.LNK |
无 |
USB传播漏洞利用LNK文件 |
2.3 版本演进可能的原因——寻找破坏效果与隐蔽性之间的最佳平衡点
“震网”样本的初始版本,并不是安全业界在2010年分析的“蠕虫”+木马形态,这是“震网”的1.x版本,但其初始投放的是0.5版本。这两个版本在传播方式、攻击机理和破坏效果上存在明显差异。
表2-3 “震网”0.5与1.x版本差异对比
|
能力维度 |
0.5版本 |
1.x版本 |
说明 |
|
隐蔽能力 |
1、多个模块代码释放在磁盘 2、没有数字签名 3、在有杀软的情况下部分模块无法建立 |
1、模块加密存储 2、在敏感模块中带有可验证的数字签名 |
0.5版本采用更复杂的代码开发平台,但由于其规避能力不足,导致在有安全软件的环境中有可能无法实现作战目的。 1.x版本通过数字签名和模块加密存储、多进程执行任务等方式绕过杀软,完成任务。 |
|
传播能力 |
Stuxnet 0.5通过Step 7项目存档文件进行复制。当可移动驱动器插入到被感染的系统时,Stuxnet 0.5会感染驱动器中具有.s7p或.zip扩展名的Step 7项目存档文件。此外,本次磁盘存储的Step 7项目存档文件也会被感染。 |
1、Windows RPC服务 2、Windows打印服务 3、WinCC SQL Server服务 5、USB Autorun自动执行功能 6、弱口令共享传播 |
0.5版本定向传播,传播能力有限,但针对性极强 1.0版本采用多个漏洞组合传播,其传播针对性不强,但有着非常强的感染能力 |
|
破坏能力 |
修改浓缩铀离心机提供六氟化铀气体的阀门的状态。这样可以关闭输铀阀门导致铀流量受阻并破坏离心机及其相关系统。
|
通过快速调整离心机转速,达到破坏离心机的目的 |
0.5版本采用超压的方式破坏离心机,其从感染到离心机被破坏的时间较短 1.0版本采用调整转速的方式破坏离心机缩短其寿命,可以调整为更长时间 |
那么,版本演进的根源是什么?基于行动和致效的角度,较大可能有两点原版本跟随伊朗环境的IT运营调整,在取得初始效果后,已经失效。包括伊朗扩建了多地新的离心设施,其初始作业影响范围无法覆盖,需要用更有传播、突防能力的手段跟进。
同时对比版本差异,还可能存在以下几个方面的原因:
从破坏效果与隐蔽性的平衡来看,0.5版本的攻击方式可能存在更大的暴露风险。国际原子能机构(IAEA)的核查报告显示,2009年12月至2010年1月间,伊朗纳坦兹核设施约2000台离心机被替换——这一异常情况部分是“震网”通过阀门级联造成超压的结果。但这种批量损毁模式也可能逐渐在事件分析归零中暴露。1.x版本通过修改转速来破坏铀的分析效果,同时通过转数变化,实现更精细的对离心机的磨损破坏,这可能是版本演进的重要驱动力。
目标环境的适应性调整:伊朗核设施的离心机系统和相关的关键PC节点和软件条件也在更新变化,攻击者需要不断调整攻击策略以应对目标环境的变化。从版本迭代来看,“震网”经历了0.500、1.001、1.100、1.101等多个版本,这种频繁的版本更新可能反映了攻击者针对不同环境进行持续优化的过程。1.x版本相比0.5版本具有更广泛的平台兼容性,这可能是攻击者针对不同西门子WinCC版本进行适配的结果。
传播方式的演进可能反映了攻击者对战术灵活性的追求。0.5版本高度依赖人工接触,这种方式存在明显局限性——一旦情报线暴露或落地人员出现问题,攻击行动就会陷入停滞。1.x版本采用更加多样化的传播方式,既可以通过感染供应商技术人员间接渗透,也可以利用LNK漏洞(CVE-2010-2568)和打印服务漏洞(CVE-2010-2729)等进行网络横向移动。这种传播方式的转型,大大降低了对单一情报来源的依赖。而对于1.x版本的大规模扩散——感染全球超过45000个网络的原因,安天在《震网事件的九年再复盘与思考》中对此已经做了较多的分析,这里就不再重复。
2.4 利用多个已知漏洞——而非全部都是0day
由于“震网”最初被业内关注和发现的版本,是使用了多个漏洞可以进行横向移动和网络传播的1.001版本,因此导致“震网”的关注度聚焦在了0day漏洞问题上。但实际上,造成批量的离心机损坏的初始投放版本0.5版本不仅没有使用0day漏洞,甚至并未使用漏洞实施攻击,其就是一组带有一定感染传播属性的,复杂的恶意代码执行体。1.001版本病毒使用了多个漏洞用于提权、传播和执行,但安天CERT通过对比样本编译时间与漏洞的公开时间的关系可以呈现出,1.001版本既使用了5个0day漏洞、也使用了3个Nday漏洞(分别是MS08-067、MS10-061、MS09-025,其中MS10-061虽然是微软在2010年9月披露,但实际相关漏洞在2009年4月的Hakin9杂志就已经公开,因此该漏洞亦可认为是Nday漏洞)。其中MS08-067漏洞是当时著名的漏洞,当年对全球计算机造成重大影响。从“震网”的版本更迭来看,在1.X后续版本有删除漏洞和其他传播模块,但MS08-067在1.X所有版本中一直保留使用。更大的可能是攻击组织早已摸清了伊朗的核工业系统环境,其并无漏洞利用的攻击检测能力部署,而且知晓其物理隔离内网系统并未更新系统补丁,也没有针对弱口令网络共享的基本治理(弱口令共享传播模块也在1.X所有版本中使用)。
图2-2 “震网”样本使用0day、1day漏洞情况
表2-4 “震网”使用的漏洞清单表
|
CVE编号 |
MS编号 |
漏洞可证武器化时间 |
漏洞曝光时间 |
是否0day |
漏洞类型 |
服务/端口 |
|
CVE-2008-4250 |
MS08-067 |
2009/6/22 |
2008/10/23 |
否 |
远程代码执行漏洞 |
Windows RPC服务/445 |
|
CVE-2010-2729 |
MS10-061 |
2009/6/22 |
2009/4 |
否 |
远程代码执行漏洞 |
Windows打印机服务/139、445 |
|
CVE-2009-1123 |
MS09-025 |
2009/6/22 |
2009/6/14 |
否 |
Windows内核提权漏洞 |
/ |
|
CVE-2009-1124 |
MS09-025 |
2009/6/22 |
2009/6/14 |
否 |
Windows内核提权漏洞 |
/ |
|
CVE-2009-1125 |
MS09-025 |
2009/6/22 |
2009/6/14 |
否 |
Windows内核提权漏洞 |
/ |
|
CVE-2009-1126 |
MS09-025 |
2009/6/22 |
2009/6/14 |
否 |
Windows内核提权漏洞 |
/ |
|
CVE-2010-2772 |
|
2009/6/22 |
2010/7/21 |
是 |
WinCC默认SQL身份验证漏洞 |
SQL Server服务/1433 |
|
CVE-2010-2568 |
MS10-046 |
2010/3/1 |
2010/8/2 |
是 |
远程代码执行漏洞 |
/ |
|
CVE-2010-2743 |
MS10-073 |
2010/3/1 |
2010/10/12 |
是 |
Windows内核提权漏洞 |
/ |
|
CVE-2010-3888 |
MS10-092 |
2010/3/1 |
2010/12/14 |
是 |
Task Scheduler提权漏洞 |
/ |
|
CVE-2012-3015 |
|
2006-2007 |
2012/7/26 |
是 |
DLL加载任意代码执行漏洞 |
/ |
2.5 盗用证书签名——没有得到足够重视的供应链安全环节
“震网”盗用证书签名证书,是当时各方分析的重点。但如何从整个供应链体系中应对这一类型的攻击,却一定程度上被忽略了。
“震网”病毒重要的攻击技巧是两个核心驱动模块(复制持久化和隐藏相关文件)具有主流厂商的数字签名,其利用盗用的两个正常签名(见下图、表)给自己的恶意文件穿上了“可信”的外衣,通过签名大大加强了自身的可信度,使其驱动的多种敏感行为(开机自启、注入进程、Hook系统API)可以绕过操作系统和安全软件的检测,能够堂而皇之的在系统内进行任何操作。
图2-3 “ 震网”使用的两个盗用的数字签名[12]
表2-5 Realtek公司被盗签名信息
|
字段名称 |
值 |
|
名称 |
Realtek Semiconductor Corp |
|
颁发者 |
VeriSign Class 3 Code Signing 2004 CA |
|
有效期 |
2007-03-15 00:00:00 至 2010-06-11 23:59:59 |
|
有效用途 |
代码签名(Code Signing) |
|
签名算法 |
SHA1 with RSA |
|
SHA1指纹 |
6841393D9A1D09C9F5C639C0C714FB42ADDD7DD2 |
|
MD5指纹 |
2B0F3ADF1ABE4227EF458BA2E5F990A9 |
|
SHA256指纹 |
E95ABDF0826009D3362EB15715CC269BA400054B042C94866D82C65CAD7316FF |
|
序列号 |
5E 6D DC 87 37 50 82 84 58 14 F4 42 D1 D8 2A 25 |
表2-6 JMicron公司被盗签名信息
|
字段名称 |
值 |
|
名称 |
JMicron Technology Corp |
|
颁发者 |
VeriSign Class 3 Code Signing 2009-2 CA |
|
有效期 |
2009-06-18 00:00:00 至 2012-07-25 23:59:59 |
|
有效用途 |
代码签名(Code Signing) |
|
签名算法 |
SHA1 with RSA |
|
SHA1指纹 |
F1B6ABBEAD95F2180FBC40142121F399ADAD4F31 |
|
MD5指纹 |
171AAA8A1A8290C1967DB09614F9B07B |
|
SHA256指纹 |
251DF2BB83B3E0531075FE05AB6CFE49961F3253277F3BDDD60FB0C6D6AD3E5F |
|
序列号 |
47 6F 49 F4 C9 59 F6 56 E9 AA 1E B8 7F C5 29 BB |
“震网”盗用签名的所属公司JMicron Technology总部与RealTek当时位于同一个科技园内。无独有偶,“震网”事件之后,陆续发生了大量数字证书盗用、哈希碰撞伪造证书、数字证书签发机构被入侵颁发虚假证书、篡改源码利用原厂签名等事件。代码签名体系是软件供应链安全体系的重要基石,但其本身不足以独立在一个开放的场景中保证软件的安全,数字签名本身的证书签发环境的安全、证书统一管理和废止机制、证书机构自身的系统安全、证书使用者环境的安全,都应给予规范的管理和足够的重视。而与此同时,在规模型产业体系中,软件证书的申请必然是海量的,软件证书的签发也必然是离散的,签名体系是必然穿透的。安天曾多次指出,在新增PE样本中,带有“合法”数字签名的带有很高的占比,这就必然使在主机场景对抗中,不能只依托数学验证保证整个软件供应链环境的安全,其必然需要反病毒引擎和主防来承载可信体系承载穿透对抗。
2.6 流量特征显著——而非无声无息
如上节分析,“震网”攻击过程中使用了大量漏洞,其中用于突破物理隔离传播的漏洞就有4个,这其中1个漏洞利用移动存储设备“摆渡”至隔离网络,3个漏洞利用网络在内网传播。“震网”在利用这三个漏洞传播时,内网流量可以观测到会产生非常显著的行为异常。
复现“震网”的传播活动,其利用网络共享传播自身,在建立与目标建立连接后先设置目标文件路径,随后明文传输文件数据,传输完成后发送执行文件命令,相关动作均有明显的流量痕迹,具体流量行为见下图。
图2-4 “震网”设置传播目标路径:DEFRAG[RANDLNT].tmp(PEEXE文件)
图2-5 “震网”开始向目标主机明文传输攻击载荷
图2-6 “震网”利用网络共享传播成功发送执行命令
由上述分析可以发现,“震网”在利用网络传播的时候,流量中存在多种异常情况,如:传输PE文件、发送执行命令等,而且是明文化的可观测特征。因此,无论是内网或公开网络,不应因其是隔离就放任而不被监测,都应接受安全防护设备的监测与记录。正如The Langner Group所说的那样,伊朗应该意识到这些流量,而不是没有进行任何测试。
2.7 错误的认知与研判——未在初始排查中考虑网络攻击的可能
和今天已经固化的伊朗机构人员层面被渗透成筛子的印象不同,“震网”攻击发生于伊朗在工业化发展的国家上升期,彼时美以对伊朗人员渗透的程度要低得多。在“震网”攻击导致离心机损坏的情况最初出现时,伊方在排查中完全未考虑遭到网络入侵攻击的可能性,而将事故调查重点集中在“内部人员破坏”和国产设备质量缺陷两个方向。
当然这有一定的客观原因,在技术调查层面,伊朗核设施的离心机系统采用了混合供应链模式,既包含荷兰等国外厂商提供的设备,也使用了质量尚未稳定的国产化设备和部件。其自主生产的离心机模块在制造工艺和装配流程上存在固有缺陷,导致系统性故障频发。这一客观技术背景使得伊朗技术人员在初期更倾向于将故障归因于设备可靠性问题,而非定向网络攻击[14]。
根据BBC的报道“在内部排查方面,随着离心机故障数量持续攀升,伊朗安全部门对多名涉嫌‘核间谍’的人员实施逮捕和起诉,甚至处决了某些工程师,试图通过内部整顿来遏制攻击态势”。当然不能排除相关报道有可能是西方媒体对伊朗的丑化[15]。但从“震网”攻击实施来看,可能存在内部人员为美、以提供内部情况的可能性,但从其需要荷兰运营工程师实施投放来看,其在最初实施网络攻击时,是缺少可靠和具有足够权限的“内鬼”支撑的。
直至2009年末至2010年间,随着国际网络安全研究机构对“震网”病毒的逆向分析成果陆续公开,伊朗方面才逐步确认病毒攻击,并意识到早期应急响应策略存在重大误判。当面对超出认知范围的事件时,当事方往往倾向于用已有的知识经验去解释异常现象,而难以有效枚举所有可能性,并做出合理的顺位判断以指引分析方向。这种认知偏差必然导致宝贵的应急响应窗口被错失。
3.安天历史分析工作的几点缺失和遗憾
在“震网”事件出现后,全球网络安全业界的主要厂商(包括卡巴斯基、赛门铁克等)都投入了“震网”分析的一场技术竞赛当中。通过持续性地关注和深度分析,逐渐将这起超级复杂的网络攻击活动的全貌解释出来。在“震网”的分析中,卡巴斯基、赛门铁克等国际厂商都表现出了极大的战略耐性、定力和分析实力。在“震网”事件之后的数年内依然贡献了更多持续不断的分析成果和技术博客。安天本身也是在这场分析接力中投入资源并长期跟进分析的中国安全企业。但所有的工作在获取经验的同时,也必然有不足和教训,我们回溯安天自身的分析工作,依然有几点遗憾与缺失,值得总结。
3.1 我们在历史分析报告中的一处失误
我们在2010年9月26日所发布的分析报告中,对“震网”的扩散绘制的图示存在一处严重错误,即将MS10-061图示为向打印机发起的攻击,实际上这一是针对Windows系统打印服务的攻击。由于“震网”模块众多,功能异常复杂,当时我们主要关注放在“震网”本身的样本运行机理等方向上,加之团队人员当时日常均以恶意代码分析为主,所以在当时并没有准确去分析每一个漏洞的具体机理。针对打印服务利用漏洞上,报告编写人员望文生义误以为这是一个针对打印机的攻击,因此在绘图上将这个漏洞利用的攻击目标设定为打印机。这是一个严重的技术错误,该漏洞攻击点为Windows的打印服务,而非打印机。这样一个图示会导致阅读者以为打印机本身是“震网”攻击中的一个过程目标,并且可以作为连锁扩散的桥头堡,从而带来相关认知误解。令我们感觉非常不安及遗憾的是,由于国内多篇其他方分析报告、报道和出版物都引用参考了安天的报告,导致这一错误传递到了多份文献和书籍中。虽然在反思此事时,也有业内同仁诙谐地说这种错误是安天在报告中留下的反抄袭的暗记,但从我们的角度来看,这是一个不可被原谅的技术失误,这也反映我们要以更大的严谨、求实的态度面对分析工作。
我们绘制错误的原图(3-1)与更新后的图片(3-2)对比。
图3-1 出现严重错误的“震网”传播路径图
图3-2 “震网”的多种传播路径(修正后)
3.2 分析工作的频谱缺失
对于“震网”以及与“震网”同源关联的火焰(Flame)、毒曲(Duqu)、高斯(Gauss)等攻击,安天历史上形成了十余篇分析报告,但回看历史报告,对其内网横向移动扩散、网络数据的分析是不足的。对这个主题,网络安全企业、研究机构和个人研究者已经贡献了数十篇高质量研究文献。这些研究文献从多个层面整体覆盖了“震网”的方方面面。但回看这些文献,也一定程度存在和安天类似的问题。
由于“震网”攻击是依托高度复杂的恶意代码来实施的,在当时分析的主体角色,自然是有深度反病毒积累的安全厂商作为主角,但这本身也导入了我们作为反病毒企业的工作的方法和路径依赖,整个分析工作整体上围绕着动静态混合的代码反汇编分析来展开,辅助补充了部分对其作用机理的复盘和还原等。从目前现有成果的丰富度上来看,对整个的模块、功能、漏洞利用相关的代码解析及作用机理的代码解析是非常丰富的,但对其在内网横向移动、扩散所形成的分析显然是不够的。尽管我们在《震网事件的九年再复盘与思考》中对其为何会形成扩散传播进行了相关的论述和展开,但就其整个内网横向移动的作业规律所能形成的扩散地图等方面成为了历史分析工作中较重的一个缺损点。由于各种条件限制,相关分析并没有有效地扩展到相关的关联环节,如被“震网”盗用的相关证书机构,其签发证书、签发环境的实际情况,为什么美方能够持续作业实现证书的盗取,甚至包括证书窃取的位置究竟是在具体的软硬件企业还是有可能在签发机构或是证书发放的路径,都没有看到更有效的相关的分析。
3.3 分析竞赛并未真正驱动防御规律的提炼
另一项需要反思的是,我们在这一系列的分析工作中,一定程度上存在和卡巴斯基、赛门铁克等国际优秀企业的“分析竞赛”心态。
作为国内最早参与“震网”分析的安全团队之一。我们搭建了两版本“震网”的环境沙盘模型,试图还原攻击的全貌,从初始感染到横向移动,从payload投递到最终破坏,每一个环节都试图用技术分析来填补信息空白,包括仅在USB摆渡的条件和控制逻辑上,就进行了极为细粒度的分析。然而,当我们越是深入分析,就越发现一个现实:“震网”并非一个传统意义上的“病毒”或蠕虫、木马,其背后是一个超级的软件工程。它的全貌,基于逆向分析角度,几乎无法完全揭示。这使得“震网”系列的分析必然成为一个不收敛的过程,每一次新的分析都可能发现新的问题,对其全部细节永不会有完整的答案。我们投入了大量人力物力进行马拉松式的持续分析,驱动了部分的引擎检测、防御能力提升。但在分析频谱和能力研发频谱上,存在资源争抢。当分析团队花费数年时间追踪样本间的同源和变种演进关系时,当研究人员在某个漏洞的利用机理上反复推敲时,我们是否曾经在某种程度上把“分析”当作了“防御”的替代品?
我们在“震网”分析中积累的沙盘模型和技术沉淀,固然是宝贵的技术成果。但这些成果的价值,最终应该体现在能够指导防御实践的方法论上,而非仅仅停留在技术研究的层面。深入了解攻击威胁,要驱动真正的安全进步,是让防御体系有效地抵御攻击。
图3-3 安天用于“震网”分析的两版工控沙盘
由于“震网”本身的复杂和全球舆论的重点关注,使“震网”主要的分析方向服务于更深入揭示样本和攻击的细节,各主要分析主体比拼揭示出的关键细节质量。但从整个的攻击过程链条上如何构建起更有效的防御,反而缺少高质量的系统输出。没有及时驱动高质量、体系化、结构化防御框架的形成。一些单点技术和方法,以能防住“震网”的话术自说自话宣传推广,被夸大为“银弹”。
4.“震网”事件对网络安全防御的长期教益
4.1 避免“神话”攻击活动导致防御的虚无主义
“震网”攻击本身确实是一个跨时代的事件。其恶意代码的机理复杂性完整分析,几乎超出了当时所有分析团队的能力;而其利用漏洞数量之多,也体现出一种按照范弗里特饱和式攻击的方式使用技术资源的特点——这些特点确实远远超出了当时业界对恶意代码和网络攻击的整体认知水平。正是在这种背景下,“震网”类型的攻击是一个不可防御的“神话”这种观点开始广泛流传。认为面对如此复杂、精巧的国家级攻击,各种防御措施都是徒劳的——攻击者拥有无限的资源和技术能力,防御者只能“听天由命”。这种观点忽视了防御者的布防主动性与能动性,误导防御工作的方向,制造的虚无主义困境。
关于“震网”历史分析研究及本报告的内容恰恰揭示了,作为拥有绝对供应链优势的美方,其在实施攻击行动中也同样需要长期策划、研发攻击载荷,编排攻击杀伤链,寻觅作业窗口,精密实施和管理攻击活动。而即使放到“震网”所发生的时代背景,相关攻击虽然是难以实现实时发现并阻断的,但如果带有有效的安全能力部署和运维条件,也是一个可能被及时发现、并响应阻断的攻击。 “震网”在传播和运行过程中产生的大量可观测行为——异常的进程创建、可疑的注册表修改、与外部C2服务器的通信——这些行为在具备完善检测能力的系统中都是可以被捕获的。这说明即使攻击技术再复杂,只要留下痕迹,就有可能被发现和分析。并可以提炼安全规律,调整防御部署。
“震网”的复杂性和分析揭示难度,并不等同于防御难度。攻击者投入大量资源开发复杂的攻击武器,并不意味着防御者需要完全理解攻击武器的每一个技术细节才能进行有效防御。防御是依托体系化的防护框架,构建防御能力的系统部署,形成协同运行能力,特别是落实好对攻击活动的“关键控制点”,无论攻击载荷多么复杂,如果无法在目标环境中成功投放和运行,其威力就无从发挥。其次,“震网”的复杂性很大程度上是为了达成破坏机理的可行性,而非单纯赋予于突防和实现绝对隐蔽。攻击者需要精确了解离心机型号、运行逻辑和工作参数,需要编写针对西门子WinCC系统、和PLC逻辑控制器的专用payload,需要设计复杂的攻击链和判定逻辑来确保到达目标,这些复杂性是攻击本身的内在需求,但从防御侧来说,这些恰恰是攻击者在对抗层面的“包袱”和负担,这是安天CERT对攻击致效层面的对“Payload(载荷即负载)”的新理解。将攻击的技术复杂度等同于防御的难度,是一个根本性的逻辑错误,这种认知偏差可能导致防御者的无效投入和自我放弃。
对于真实网络攻击活动的拒止,应该更多地把重心放在载荷投放和运行过程,而不是放在最后对其行为的约束上。试图检测和阻止每一次可能的破坏行为是期望的,但让攻击载荷难以达到目标环境及在达到目标环境中无法获得运行入口,使攻击武器载荷无法实现运行耦合——这才是防御的关键点。
4.2 不应只关注毁瘫后果,更要关注带有长期隐蔽性的威胁
作为具有里程碑意义的“网络战”事件,“震网”让人们普遍认为网络攻击的最大风险是造成关键基础设施毁瘫。“造成物理空间后果会导致更大损失”这个判断本身并没有错,但“震网”本身并非单纯的网络攻击事件,而是一起与“凋零利刃”类似的打击型作战行动。例如,洛克希德·马丁(Lockheed Martin, LMT)研究员马歇尔(Michael)就提出“震网不是APT”的观点——APT攻击追求的是长期潜伏和隐蔽性以达成持续性信息获取,而“震网”直接造成了物理设施毁瘫,事实上已经构成了一个作战行动。其观点具有重要启示意义。
“震网”事件引出了一个关键区别:及CE/CNE(网络情报行动)和CA/CNA(网络攻击行动)的差异。在西方定义中,网络入侵构建连接、持续性信息获取被称为CNE,而只有转化为物理空间影响的才为CNA。一旦到达CNA阶段,就具备了军事作战行动的特点。那么,这两种样式的本质区别在哪里?关键在于常态化的低烈度对抗阶段中,高等级网络空间攻击活动的核心影响究竟是什么?是持续性的信息与情报窃取,还是基础设施的毁瘫?这个问题上,连发动“震网”攻击的美方亦有反思。2023年9月13日,美国智库新美国安全中心(CNAS)举行“网络韧性:解读2023年美国国防部网络战略”网络研讨会上,美国国防部太空政策助理部长约翰 F・普拉姆博士(John F. Plumb)指出,他们“曾认为网络空间最严重的威胁是关键设施毁瘫,但后来认识到在常态下,更大的安全风险来自持续性的情报获取”。然而,由于“震网”的巨大轰动效应,在相当长的时间内,我们把高等级网络攻击的后果简单等同于关键基础设施大规模毁瘫。这种认知偏差导致在同样致命甚至更为隐蔽的威胁——持续性的信息与情报窃取方面,关注度和投入是不足的。这种认知偏差的危害在于:在网络攻击导致关键设施大规模毁瘫上,由于我国并未发生同等级别(或影响力)事件,容易产生麻痹心理。这一方面可能反映出我们关键基础设施网络安全有较好的防御基础;另一方面,也来自我国强大国力和军事实力的威慑,导致一些对手不敢实施这种活动。但我们需要看到,这种阶段性的“和平状态”可能让我们对真正的威胁视而不见。其带来的严重后果:一旦攻击者建立了持续性的隐蔽控制能力,转化为破坏能力只是一个指令和条件触发的问题。攻击者可以掌握系统权限、长期保持静默,持续收集情报、测绘资产拓扑——是否发动破坏完全取决于攻击者的战略意图,这种“不确定性”本身就构成巨大的“威慑”。更关键的是,在高烈度的冲突与战争中,网络入侵和情报获取扮演的更大价值可能不是目标毁伤作用,而是为火力打击指引目标、创造更有利打击条件和打击效果评估。
因此,在防御实践中,各机构只关注防范显性后果事件:是否有设施损毁、是否有大规模停电,而对持续性、隐蔽的致命威胁的资源投入严重不足。这种防御重心的偏移将导致在错误方向消耗大量资源。正确的防御思路应该是:在常态网络安全防御中,以防御入侵、窃取为主要目标,把攻击者持久化落地、系统控制权失窃、信息、情报等数据被获取,作为常态的最重大和高等级的安全事件来看待。基础的系统和数据安全治理、威胁检测和实时拒止能力构建、持续性威胁的检测发现、基于底线化敌情想定构建的响应流程等。这些日常工作,都是能够有效应对持续性隐蔽威胁的关键,有效的防御应该在威胁尚处于隐蔽潜伏阶段就能够发现和遏制。
4.3 APT攻击有高昂的成本,防御侧更需要投入保障
我们在对“震网”此前的研究中引入了“震网”攻击与“巴比伦行动”的相关对比,用以说明在可以达成等效作用的时候,网络攻击是一个低成本的手段。但是,网络攻击低成本的概念是相较于实施火力的打击的物理成本和社会影响成本而言的,网络攻击本身是需要规模化的成本支撑的。
以“震网”攻击为例,需要高水平的架构师和开发工程师团队编写高度复杂的恶意代码。形成多个高水平的漏洞利用工具,需要具备漏洞分析挖掘研究能力,或者从相关渠道进行采集、采购。特别是由于最终要作用到实际的离心机物理设备,且先后使用了调整阀门压力和调整转速的两种方式,其必然需要构建相关的实物环境,形成整体的一套高度拟真的工控靶场来进行相应的验证。这些都说明高水平的网络攻击是需要巨大成本的。
从安全防御的角度来看,面对高水平持续性的网络攻击必然是一个成本对抗。从物理空间来看,通常防御者所需要付出的成本是攻击者的数倍。这是因为防御需要覆盖所有可能的攻击面,而攻击者只需要选择一个薄弱点突破——这种不对称性在网络空间中同样存在,甚至更为突出。
我们很难想象,依托价格战甚至免费所驱动出来的安全体系能够有效地防御这种通过长时间规划和高昂成本准备所形成的攻击。安全产品的价值不在于价格标签,而在于它能否真正降低风险。如果一套便宜的安全系统无法有效检测和阻断攻击,那么它的“便宜”实际反而是代价高昂的,甚至其“安全产品不安全”本身构成安全危险。
高质量的防御需要相应的投入,包括自身的安全规划,持续安全运营,采购高质量的安全产品和服务等。这些都需要持续的资金和资源投入,安全从来不是一次性的投入,而是一个持续的过程。将安全单纯视为“成本中心”而非“保障性投资”的思维,是导致安全预算不足的重要原因。当安全预算被反复压缩,当安全团队被视为“花钱的部门”而非“创造价值的部门”时,防御能力的下降几乎是必然的结果。
认识到APT攻击本身高成本和长周期准备特性,有助于我们更理性地评估安全投入的必要性。真正的安全不是“合规就行”,而是需要基于自身的敌情想定,与面临的威胁级别相匹配。当对手投入巨资研发攻击时,安全投入也必须达到相应的水平——这不是“过度投入”,而是“对等制衡”。
网络攻防对抗也是一种非对称的“军备竞赛”,在这场竞赛中,固然不能认为可以单纯由投入多寡决定胜负,但投入不足必然导致先天的被动。
4.4 有效防御必须人防、物防、技防结合
“震网”事件给我们的一个重要启示是:高价值目标所面临的威胁行为体活动往往是以人、物、技相结合的方式发动复合攻击。单维的技术手段、特别是单纯依靠网络空间的技术手段,不足以应对这种复合的攻击——这个教训在网络安全领域已经反复出现。从“震网”攻击的过程来看,攻击者动用了多种维度:在人的维度上,通过运维人员直达目标节点;在物的层面,构建目标靶场,使用移动设备作为载荷载体,使用复杂攻击载荷;在技的层面,则开发运用了高度复杂的恶意代码。对应这种攻击,防御体系也必须是多维度的。任何单一维度的防御手段——无论技术多么先进——都无法有效应对这种立体化攻击。
单纯技术手段是有局限的。再先进的安全产品也难以阻止内部人员被收买;再完善的网络入侵检测机制也难以防范人员的物理介入;再严格的访问控制也难以防范供应链上游的安全风险。技术手段可以解决技术问题,但无法解决人和管理的问题。
人既是最大的能动性要素,也是最大的风险短板。我们当前的人防体系更多是基于防范失误事故和不正确的操作来建立的,而不是基于极限化的敌情想定,基于情报对抗和极限响应来构建机制再严格的安全培训也无法完全消除人员被渗透的可能性;再完善的审计制度也无法发现经过精心伪装的恶意行为;再高频的系统安全检查也无法阻止内部人员绕过规定流程。在面对国家级攻击者的作业时,这种被动的、免责为主导的人防体系显然是不够的。
物理安全同样存在漏洞。再坚固的机房也挡不住获得授权的维护人员;再严格的门禁也防不住被买通的内部人员;再完善的设备检查也无法发现精心隐藏的硬件后门。“震网”事件中,攻击者正是通过物理接触的方式将病毒植入目标系统,这说明物防的任何疏漏都可能成为攻击的入口。
因此,人防、物防、技防“三结合”是构建完整防御体系的基本前提。这三个维度不是简单的叠加,而是要形成相互支撑、相互弥补的有机整体。技术手段可以弥补人员和物理管理的不足,人员的安全意识可以减少技术手段无法覆盖的风险,物理安全措施可以为技术和人员管理提供基础保障。
4.5 物理隔离是有效的,迷信隔离是极度有害的,完全隔离是不可能的
在整个信息化和应用发展中,物理隔离长期作为一种非常重要的合规管理手段,起到了关键的作用。但同时由于其带来的阻断信息连接、影响工作效率等方面的弊端,又往往为人所深入诟病。
“震网”本身证明了物理隔离防线是可以被跨越入侵的,但同时也体现出物理隔离(包括严格的人员出入管理)作为一种安全手段本身的效用,可以提升攻击的实施难度。如果物理隔离没有作用,也就不存在“震网”的攻击者需要买通相关的人员去进行抵近作业。但物理隔离能够产生效用的历史条件是因为网络空间作为一种人造空间,是基于物理设施为基础存在的。在“震网”时代,信息资产形态更多的是按照内外网清晰分布的,而内网资产又承载于机构的物理边界之内。因此基于物理隔离手段的非连续性,能够有效约束网络空间连接,从而起到一定的攻击拒止作用。但显然,其只是对高价值防御目标的必要性手段之一。基于前文所指出的,“震网”并不是传说中那样的神不知鬼不觉,无论是在网络流量侧还是在主机环节上都有重大的可观测异常。而被攻击方所面临的问题是,认为物理隔离形成了一道固若金汤的防线,从而没有在内网构建有效的安全机制,没有在主机上形成安全的防护和相关的观察能力,也没有及时修复系统的补丁漏洞,而导致物理隔离被突破之后让其横行无忌,达成作战效能。
当前必须正视的是,面对日趋庞大的现代信息基础设施,特别是人工智能时代的数字化演进,包括工业体系,必然不可避免地依赖于高效的信息交换、供应链供给和人员的交互,其已经构成了一个多点开放式的相关体系。物理隔离不可能约束所有的攻击活动,但其本身却形成了对安全响应能力闭合和安全赋能分发的阻塞。因此,如何既能够把物理隔离整合到效能导向的防御能力框架,在核心场景中有效发挥物理隔离的作用,又能减少物理隔离对安全响应能力的处置闭环和能力分发的影响,杜绝物理隔离带来的心理麻痹,是我们当前必须解决的问题。
4.6 防御基石应首先围绕端点构建,而不是草率的能力泛化
“震网”攻击揭示了现代工业系统所能遭遇的攻击风险,相关事件无疑驱动了我国在工业系统的防御能力改进,也一定程度上拉动了工控安全相关的技术和产品的发展,但这个过程又创造了若干新的“盒子”。
我们将“震网”开始的系列攻击深入梳理,依然会发现绝大部分的高级网络攻击整体攻击重心依然是围绕着关键计算节点(PC、服务器、智能终端,或其他工作负载)所展开的,因此整体的防御基石应该构建在主机系统和工作负载侧,从而使其成为一个最小化的安全边界,实现系统环境塑造治理、威胁检测引擎部署、主动防御和拒止能力构建、全面数据采集和汇聚以支撑联动分析与响应处置相关支撑。而事实上我们看到的是,在整个能力布局上,在产业发展中始终没有把端、云主机和工作负载的系统安全防护作为投入的主要方向。反病毒软件、主机安全软件、工作负载安全等因其是纯软件Agent形态,一直是安全预算投入不足的重灾区。安全防御的资源被泛化摊薄在超长的各类盒子型产品清单中,幻想依靠安全网关或网闸御敌于城门之外,但事实上是网络攻击在应用普遍的端到端形态下,在加密流量中,轻易地穿透这种盒子堆砌式的防御而直达最终终端。在安全防御上,还有更虚幻的期望是叠加“人工智能”就可以一抓就灵的幻想。在威胁不能通过安全能力部署实现留痕可见,也不能有效细粒度实施目标资产的防御动作时,安全AI就会成为既没有有效感知输入,也没有行动手脚的“缸中之脑”。
因此,防御的投入需要围绕着真实攻击范式和战术针对性进行系统梳理,而不是简单地进行领域能力投入泛化。需要基于安全边界面向系统到运行对象实现最小化保护,并依托人工智能赋能,依靠运营体系,构建弹性自适应的智能安全防线。
4.7 网络攻击需要成为异常事件风险排查必选项并融入流程
在现代工业体系中,安全生产一直是关键要素。各行各业都建立了完善的质量管理和事故处置流程,这套体系经过长期实践检验,形成了科学演进的体系。但这套质量流程体系的基本思想,是在没有网络攻击活动的时代形成的,它的设计初衷是应对设备故障、操作失误、材料缺陷等传统风险,并未将网络攻击纳入考量。这意味着,当生产过程中出现异常时,质量管理体系会按既定路径分析——检查设备状态、审查操作记录——但很少第一时间考虑“是否存在网络攻击”。而网络威胁响应排查的流程体系则更多的在信息化部门,尚未与质量体系融合起来。
网络攻击已深入工业控制系统腹地。网络安全如果单纯追求独立闭环,就会在整个工业场景中形成两套机制的问题。网络安全团队与质量管理部门各自为政,缺乏有效协同。而在这个过程中,更合理的解决方案是能够在出现相关的异常事件过程中,首先把网络入侵是较高的风险可能的想定纳入到传统的质量管理和归零体系中,将其作为一个需要优先排查的选项。这样才能在遭遇网络入侵后快速走入正确的全局分支当中。与此同时,在真正的质量事故中排除掉网络攻击的干扰项,也能够使原有流程可以更好地运行。
将网络入侵纳入安全生产和事故排查的必选项和优先想定,是将原有的偏于内化的风险意识上升到综合的威胁意识。它不意味着要改变现有的质量管理体系,而是要在现有体系的基础上增加一个新的思考维度,让质量流程更加完备。
4.8 攻击过程中并不必然利用漏洞,也不要幻想存在无漏洞的复杂系统
在讨论网络安全攻击时,一个常见的认知误区是:攻击必然依赖于漏洞利用。这种观点认为,没有漏洞,攻击就无法成功——漏洞是攻击的必要前提。
攻击者达成效果,是完成一个过程的链条——从初始访问到权限获取,从横向移动到目标达成。在这个链条中,漏洞利用只是其中一种可以利用的手段,而非必须利用手段。被攻击目标存在漏洞,会为攻击者带来可乘之机,但其并不是攻击实施成功的前提条件。
攻击者可以直接投放攻击载荷,基于用户操作执行;可以通过社会工程学获取用户凭证;可以通过物理接触直接插入设备;可以通过供应链污染植入后门;还可以通过威胁利诱买通内部人员——这些攻击方式都不依赖于传统意义上的漏洞利用。漏洞只是攻击者在特定场景下的一种选择,而非必然选择。从防御的角度来看,漏洞的存在并不等于攻击的成功。即使存在漏洞,如果攻击载荷无法成功投递到目标环境、无法在目标系统上正常运行、无法突破各种安全检测机制——那么漏洞的“价值”就无法实现。这个道理看似简单,却往往被忽视。
安天此前在执行体和运行对抗的研究中指出:网络攻击致效的前提是目标系统的可用性,而非脆弱性(含漏洞),绝大多数网络攻击,是系统运行和处理的同构行为,而非脆弱性利用行为。脆弱性(含漏洞)为攻击者提供了单向可用性和行为隐蔽性,当然要给予重点关注。需要通过遏制脆弱性来缓解攻击,但并不能幻想通过消亡脆弱性来杜绝攻击。
漏洞并不是武器,其是防御目标的一种属性,漏洞利用代码和工具才是武器,其数量在恶意代码攻击武器中只占很小的占比。漏洞的自我修复和缓解和防范漏洞利用,其是相关联的但并不同质化的防御动作。因此,防御的重点要关注漏洞的发现和修复,但不能将其作为防御的全部,更不要幻想通过穷尽发现漏洞,确保“绝对”安全。安全防御不单纯是一个内化的自强过程,更是一个与威胁行为体外化的交互/交战过程。在检测防御能力的部署中,无论是否存在漏洞,都要确保攻击载荷难以成功投递、运行。包括有效进行应用软件和供应链的入口治理,加强终端防护能力和恶意代码检测能力,强化网络监控能力发现异常通信,加强行为分析能力以识别可疑活动等等——这些措施直接针对攻击链条的各个环节进行防御。这并不意味着漏洞修复不重要——它当然重要。但我们不应该仅仅依赖漏洞修复来保障安全。在漏洞利用之外,恶意代码等攻击载荷的投递和运行更是攻击必要的关键环节。关注载荷的检测和阻断与关注漏洞的发现和修复,都很重要,甚至在某些场景下更为重要。期待我们的观点能让防御者们重视和思考。
4.9 “已知”、“未知”并不是威胁响应的主视角,而且可能是干扰项
从“震网”使用了多个0day漏洞的角度看,所谓的“已知”和“未知”并不是一个有效的面向防御能力的概念。这个概念在实践中往往带来更多的混淆而非清晰。“已知”、“未知”本身是一个相对的概念,是以被攻击目标的具体检测和响应能力为参照系,受到其自身和安全能力供给方的影响,而不存在统一的度量衡。
漏洞曝光并不等同于获得防御机构的关注和修复。漏洞被公开,却未及时修补,对攻击者而言是更便利的攻击入口——这一事实常被忽视:无论漏洞是否曝光,只要目标系统存在漏洞且未修复,攻击者便可加以利用。更进一步,曝光并不意味着可检测,可检测也不意味着可防御。漏洞公开后,若防御者未更新检测规则或缺乏有效响应机制,该漏洞对攻击者仍是可用的。因此,防御漏洞利用的有效性并不取决于漏洞是否曝光或拥有CVE编号,而在于当前场景下是否存在该漏洞、是否已修补、以及能否有效阻止其利用。
从恶意代码防御角度来看,不同反病毒企业的恶意样本的从后端的感知、采集、分析、特征工程运营能力有巨大差异,引擎的预处理、检测能力和更新频度也有巨大差异。由于捕获并不一致,分析处理流程的效率并不一致,检测的机理并不一致。一个恶意代码对于厂商来说是“已知”恶意代码还是“未知”恶意代码由该厂商本身的能力所决定,并没有统一的标准。而对于更多的安全企业来说,其没有独立的恶意代码采集分析和引擎能力,其产品检测识别能力取决于其运用的第三方引擎能力。这些都意味着,即使对同一个恶意代码样本,在不同安全厂商和产品中其“已知”、“未知”、是否可检测、是否可防,都会存在差异。检测到了恶意代码,如果缺乏有效的处置能力,检测本身也没有实际价值。而产品放到具体用户场景中,又与用户使用策略和配置,是否及时更新相关。
因此,对抗中的“知”与“行”问题是从具体的资产场景的安全防护运营水平和对应安全厂商企业的产品能力所界定的,在这层次上,从不存在统一的“已知”和“未知”评价标准。过度强调“已知”与“未知”,实际上是一种“以知代行”。如果没有有效的持续的关注跟进和投入,未治理的“已知”漏洞是更为有效的攻击入口,不能检测防护的已知“恶意代码”是成本更低的攻击武器,已经发生的恶意代码感染,恰恰是系统防护能力不足的证明,这些基本事实常常被忽视。因此,忽略对已知脆弱性和恶意代码的治理,而幻想通过一套新兴的创新机制,一劳永逸地解决所有问题的思维方式是一种寻找“银弹”思维。这种不切实际的想法在防御场景和安全行业中并不罕见。已知的不等于已经做好防护的,未知的不等于无法防御的。真正的安全实践应该是:必须优先进行已知脆弱性的分类分级治理,必须优先进行已经发生的恶意代码感染事件的响应和归零归因。无论漏洞是已知还是未知,无论恶意代码是否被曝光,都要持续建设检测和防御能力。关键不在于风险和威胁是否“已知”,而在于是否实施了有效治理,防御是否有效,这才是朴素而正确的道理。
4.10 防御战争行动需要以战争的思维
回顾“震网”攻击更需要指出的是:尽管“震网”被作为APT事件的代表,但如果按照美方关于CNE/CE(网络情报行动)和CNA/CA(网络攻击行动)的定义,“震网”是基于APT手段实施的CNA/CA战争行动。
从作业视角来看,CNE(网络情报行动)更强调隐蔽性、持续性的情报获取,其核心目标是长期潜伏、收集情报、维持访问能力——APT(高级持续性威胁)活动更多属于CNE的频谱。然而,“震网”的目标就是转化对物理空间不可逆的影响,对伊朗核设施造成了实质性的破坏。战争行动所追求的是以暴力手段实现让对手屈从于自身意志,是达成对物理和社会空间的既定杀伤损毁目标。与情报行动不同,战争行动的“规则”和“底线”约束更少——攻击方可以动用一切必要手段,达成预定的作战目标。“震网”正是这种逻辑的产物:它是基于网络情报间谍能力的作战行动。
这意味着我们不能仅仅用网络攻防的视角来审视“震网”事件,不能仅仅从防范技术攻击的思维来构建防御体系。应对战争行动,首先需要战争的思维。这是我们在完成本系列报告《技术篇》的同时,也编写了《战术篇》和《战略篇》的关键原因。
我们深信:
好战必亡,忘战必危!