网络空间攻击的五种威胁与对策（上）

网络空间攻击形势发生了三个深刻的变化：从少数黑客的鲁莽行动到国家力量有组织的集体行动，从专注于单一简单目标关键基础设施的规模化运营和复杂系统的机构目标已经从网络空间的独立运营转变为陆海空天网联合运营。网络空间攻击威胁可分为网络空间单点攻击、系统攻击、系统攻击、联合攻击和整体攻击五种类型，其攻击目标、手段、特点和威胁程度各不相同。本文梳理网络攻击案例，总结当前面临的五大网络空间攻击威胁，并提出相关对策，以期在未来网络空间攻防对抗中取得主动权。本次发布是文章的前半部分，主要分析了五大网络空间攻击威胁。一、五大网络空间攻击威胁概述网络空间攻击形势发生深刻变化。现在网络攻击不仅仅是黑客个人的鲁莽行为，越来越多的国家级力量参与网络攻击，网络空间成为大国政治角力的新战场。通过对网络攻击案例的分析和梳理，可以将网络空间攻击威胁分为网络空间单点攻击、系统攻击、系统攻击、联合攻击和整体攻击五种类型。（如图1所示）五种主要的网络攻击威胁在攻击目标、攻击方式、攻击特征、威胁等级等方面各不相同。图1网络空间的五种主要攻击威胁(1)网络空间单点攻击网络空间单点攻击是一种低对抗强度的攻击形式。攻击目标集中于单一目标或简单系统。攻击人员由个人或小团队组成。攻击设备主要由漏洞设备和控制设备组成。攻击结果往往体现在重要信息或数据的获取上。一、主要特点人员数量少：一般由个人或小团队组成。目标规模小：一般针对个人账户（邮箱账户、论坛账户）、主机终端（windows终端、Linux终端、MAC终端）、移动终端（Android、iPhone）、应用服务器（web服务器、邮件服务器）、网络设备（路由器、防火墙、安全设备）和其他有限的攻击目标。通用设备性能：一般以公开漏洞或开源渗透工具为主要实施操作。攻击配合不多：攻击者一般参与整个攻击过程，很少配合。支持资源有限：一般通过虚拟专用网、邮箱、DNS等资源进行操作。单一作战目标：主要目的是获取网络目标情报信息。2、在网络空间单点攻击中，攻击者主要由少数人员组成，利用突破工具和控制工具，通过多种攻击手段对特定目标进行攻击。具体动作包括目标检测、漏洞攻击、远程控制、安全绕过等。在防御端，系统厂商、设备厂商、应用厂商对目标资产进行自身安全防护，安全厂商进行外部安全防护。具体措施包括漏洞修补、安全加固、病毒查杀等。攻守双方对抗的重点是对特定目标的突破与反突破、控制与反控制。具体对抗情况如图2所示。图2针对网络空间单点攻击的对策3.典型案例网络空间单点攻击由于实施要求不高，攻击流程相对简单，被大多数APT组织普遍采用。攻击者往往通过社会工程学或已知的远程漏洞攻击来获得对目标的控制权，以达到获取敏感信息的目的。(1)RSASecurID盗窃攻击EMC旗下RSA公司被黑。黑客通过钓鱼邮件攻击获取了该公司的部分技术内容和客户信息并被盗取。攻击过程：攻击者向RSA母公司EMC的4名员工发送了2套恶意邮件，附件为“2011RecruitmentPlan.xls”。其中一名员工将其从垃圾邮件中取出并阅读，当时它受到了Adob??eFlash中的零日漏洞(CVE-2011-0609)的攻击。该员工电脑被植入木马，开始从僵尸网络（BotNet）的C&C服务器下载指令执行。最先受害的用户并不是地位高的人，其次是被黑客入侵的IT和非IT服务器管理员。RSA发现开发服务器被入侵，攻击者立即撤回并加密所有数据，通过FTP发回远程主机，完成入侵。（二）针对马拉维国家银行的网络攻击在这一系列攻击中，马拉维国家银行当地的4家分行成为攻击者的重要目标，其中南区（Southend）官方客服邮箱已被攻破被攻击者盗用。攻击者利用事先从国家银行部分网点窃取的官方邮箱密码，向其他网点工作人员发送带有恶意文档附件的邮件。附件形式的恶意文档利用CVE-2014-6352漏洞发起攻击。该漏洞可以绕过“沙虫”漏洞（SandWorm）补丁MS14-060的安全保护。漏洞利用成功后，样本会执行一个名为“Target.scr”的可执行程序，该程序是攻击者根据开源代码编译生成的。攻击者重写主要功能代码后，程序运行时不会调用开源代码。代码的原功能，只是内存扩展执行内嵌的DarkComet远程控制木马，进而攻击目标系统。图3单点攻击流程图从以上案例可以看出，该攻击主要使用漏洞、远程控制等主要攻击武器，针对终端、WEB服务器等攻击面，控制后获取相关信息目标。(2)网络空间系统攻击网络空间系统攻击是针对大型机构或组织的复杂网络的高强度攻击形式。核心业务瘫痪等1、主要特点攻击力量协同更加频繁：攻击人员分工更加细化。除了渗透者、情报分析人员、漏洞分析工具开发人员外，还有来自行业组织的专家参与其中。进行演练。目标环境更加复杂多样：大型组织一般采用跨网络、跨域的网络环境，包括互联网、DMZ、办公内网、核心业务网等场景。在这些场景中，网络资产类型、网络保护机制、网络组网方式各不相同，如图所示。高性能攻击设备类：0-day漏洞利用工具常用于攻破大型组织的内部网络和核心系统资产。此外，进入内网并通过后，横向移动和持久化工具完成后续操作。图4一般大型机构复杂跨网跨域场景示意图2.应对措施在网络空间系统攻击中，攻击者具有一定的规模，分工合作。除了渗透者，还有漏洞挖掘、数据分析、行业专家。在攻击设备方面，往往预留了一批0day漏洞工具和设备持久化后门等高阶工具。在攻击目标方面，重点收集攻击面信息、社工信息、内部未公开信息。防御端除系统厂商、设备厂商、应用厂商外，还包括工控厂商；安全厂商除了传统的安全厂商外，还包括威胁分析厂商和安全审计厂商。此外，还有一些重点机构和政府力量需要特殊保护。攻守对抗的重点在于对复杂系统的整体控制。具体对抗情况如图5所示。图5网络空间系统攻击对抗态势3.典型案例美军长期以来一直利用网络空间系统攻击来实现其网络作战目标。重点选择“电信运营商、关键基础设施、骨干网设备、网管人员、应用服务器（邮件服务器、域名服务器、WEB服务器等）”等目标，多采用“人机交互”中间攻击、供应链攻击、网络设备攻击、摆渡攻击、网管人员攻击”等手段，以及“零日漏洞、控制平台、持久化后门、内网横向扩展”等手段较为普遍用于网络目标控制攻击环节，在安全隐蔽的前提下，实现对各种网络目标的大规模突破和持续隐蔽控制。（1）“奥林匹克”行动针对伊朗核设施的“奥林匹克”行动最终通过“Stuxnet”蠕虫病毒成功入侵并摧毁了伊朗的核设施，严重拖延了伊朗的核计划，成为世界第一事件这些恶意代码被用来对物理设施造成不可逆转的重大破坏。图6Stuxnet病毒攻击示意图NSA使用多种手段对伊朗核设施的关键基础设施目标进行攻击。核设施目标信息采集，通过各种情报采集手段采集核设施设备型号、系统版本、网络结构等信息。摆渡方式实现突破性植入，通过人工方式将被感染的U盘带入内网，利用USB摆渡+漏洞横向移动。被病毒感染的U盘利用快捷方式文件解析漏洞向内网传播。内网横向扩展攻击，在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、打印机后台程序服务漏洞，实现联网主机之间的传播；最终到达安装了WinCC软件的主机，并发起攻击。工控系统瘫痪攻击，在内网环境横向扩展过程中，扫描发现并感染安装了SiemensStep7和WinCC/PCS7SCADA控制软件的主机。通过修改西门子PLC参数管理工具负载，导致核设施旋转异常损坏。（2）AURORAGOLD行动在针对全球手机监控的“AURORAGOLD”行动中，NSA收集全球移动通信运营商的内部系统信息，以寻找后续黑客攻击的漏洞，该计划为利比亚关键人物提供通信2011年美国对利比亚的军事干预图7金色极光行动计划报告NSA通常以内部员工为突破口，对航母目标进行曲折攻击。根据曝光的数据，美国先后对巴基斯坦国家电信公司（NTC）和黎巴嫩运营商（OGEROISP）等运营商进行了网络攻击。内部员工目标信息收集，通过棱镜计划、关键分数计划等项目，采用被动定位的方式识别NTC员工，评估当前识别他们与NTCVIP部门的关系。SIGDEV以Selector（NSA精确识别系统）标记的已知目标为目标，定位其他相关目标。至此，已成功利用被动方式定位识别NTCVIP部门专门负责GreenExchange运维的员工。Insiderman-in-the-middle攻击通过使用SECONDDATE和QUANTUM项目与R&T成功地将4个新的CNE访问植入GreenExchange。针对核心骨干网的内网攻击，通过开发的CNE接入攻击载荷，成功控制了VIP部门和一条收集GreenExchange的基础线路。这部分用于维护GreenExchange（绿区交换机，位于安全区）。绿色交换室有ZXJ-10（程控交换机，用于电话网）。这些程控交换机是巴基斯坦绿线通信网络的骨干网络（该网络专门为巴基斯坦高级官员和军方领导人提供服务），至此达到控制核心骨干网络网络攻击的目的。(3)网络空间系统攻击网络空间系统攻击是一种通过系统化构建来增强网络攻击能力、对抗性强的攻击形式。网络攻防体系不局限于特定类型的目标，而是对整个网络空间保持连续性网络攻击能力是一个国家在网络空间综合能力的集中体现。一、主要特点投资巨大：系统的建设需要大量的人力、物力、财力，以及较强的技术储备。以美国为例，在网络空间体系建设上投入了数百亿美元，建立了较为完善的体系。系统庞大：以美国为例，无论是攻击系统还是防御系统，都是由很多项目组成的；最大的支撑结构称为“湍流”（TURBULENCE），它由多个系统组成，包括主动情报收集系统TUMULT、被动情报采集系统TURMOIL、任务逻辑控制系统TURBINE、进攻性网络空间作战系统“QUANTUM”、主动防御系统系统TUTELAGE（我们之前介绍过，它是主动防御CND的主要实现）、密码服务LONGHAUL、数据仓库PRESSUREWAVE、网络流量分析系统TRAFFICTHIEF和信号情报分析系统CLUSTER-WEALTH-2等，这些系统各司其职各司其职，共同保障信息收集、情报分析、主动防御、决策控制、网络作战等网络空间作战进攻作战，共同构成美国强大的网络空间进攻能力保障体系。多元化目标：无论是个体目标还是关键基础设施目标，无论是单一场景还是复杂场景，都可以在系统中找到相应的能力支持。2、对抗态势在网络空间系统攻击过程中，攻击者和防御者是系统对系统的对抗。除了装备有大量的攻防工具装备系统外，还有各种保障体系。另外，在招商引资方面，需要各个环节的企业和国家各部门共同参与。具体对峙情况如图。攻防双方交锋的重点是对整个网络空间的统筹掌控。图8网络空间系统攻击与对抗态势三、典型案例美国在网络空间形成了强大的监控、攻击和主动防御能力体系。长期以来，特别注重构建前瞻性的网络空间安全架构，重点抓好网络空间安全主动防御体系、网络空间攻击保障体系、网络空间攻击三大体系的技术装备改造与发展。装备系统。（一）网络主动防御系统美军网络空间安全主动防御系统利用商业技术和能力，结合网络空间威胁预警、入侵防御和安全响应能力，为联邦政府打造跨域网络空间态势感知系统。网络基础设施提供安全性。由于密级不同，美国的“态势感知系统”的保护范围分为联邦政府网络和军方网络两部分，那么自然而然，“态势感知系统”也分为两部分子系统：Einstein系统和TUTELAGE系统，分别由国土安全部国家网络通信集成中心和国家安全局威胁作战中心（即网络战司令部）运营管理).威胁情报交换标准（如STIX、TAXII等）已被开发出来，以确保两个领域敏感数据的高效和实时交换。图9TUTELAGE项目架构图(2)网络攻击支持系统美国国防部认为，计算机网络反制（ComputerNetworkOperations，CNO）本质上是操纵计算机和网络，针对计算机或其他网络本身或其中的信息和信息系统、攻击和防御以及两者所需的支持行动。根据网络空间作战的目的，CNO可分为计算机网络防御（Computer-Network-Defense，-CND）、计算机网络间谍（Computer-Network-Exploitation，-CNE）和计算机网络攻击（Computer-Network-Attack，-CNA），分别对应于主动网络空间防御。、网络空间情报行动和网络空间军事行动。2009年8月斯诺登发布的绝密文件中也提到了TURBULENCE项目。该文件解释了结合主动和被动方法从目标网络中窃取数据的过程。TURBULENCE项目包括三个模块：传感器、基础设施和分析。图10TurbulenceProject架构图（三）网络攻击装备体系美国自2008年以来开展了多次网络空间进攻行动，具有相当大的破坏能力。这种进攻能力不仅来自于完备的后端保障体系，更来自于强大的网络空间攻击装备体系。美国网络攻击装备体系以全平台、全功能为发展目标，具有模块化特点，能够适应各种网络环境的作战需求。通过物流链劫持、运营商劫持、源码污染等方式实现战场预制；通过大规模信息采集，形成终端、设备、软件、用户身份信息库，绘制网络地形图，发现重点目标；通过移动媒体进行渡口攻击、物流等，通过连锁劫持、近场作战等方式突破物理隔离防线；在Intranet上横向移动以建立持久的据点并交付负载；通过摆渡攻击、开放侧通道、隐蔽通道等方式实现远程控制，最终达到目的。漏洞利用网络攻击设备。美国国家安全局拥有大量零日漏洞（从未公开披露的漏洞）。2017年4月14日，ShadowBrokers曝光了一批NSA网络空间攻击设备及相关漏洞。其中，Fuzzbunch是Windows操作系统的漏洞利用平台。它可以将有效载荷植入目标主机。在植入过程中，可以直接在内存中执行，不需要生成物理文件。该平台还包含多个可直接使用的针对特定类型目标的漏洞利用程序，包括“永恒之蓝”和“永恒浪漫”。图11量子计划中的攻击设备突破物理隔离的网络攻击设备。为了配合逼近的美军开展秘密行动，NSA还需要突破物理隔离，深入对方内部网络的能力。NSA还开发了一系列专注于突破物理隔离保护机制的工具和技术。1”（COTTONMOUTH-1）是最具代表性的。图12WaterViper攻击设备指挥控制网络攻击设备。在典型的网络入侵操作中，攻击者需要与进入目标网络/系统的恶意代码进行通信、发送指令和获取数据，因此需要尽可能安全、隐蔽地使用工具进行指挥控制。尽可能使攻击者与植入的恶意代码之间能够进行通信。以NSA、CIA为代表的美国情报机构研制了一系列具有指挥控制能力、功能原子化、目标全覆盖的攻击平台和武器装备。典型代表是DanderSpritz平台，它使用正向、反向、激活三种方式与受害者建立连接。同时，通过分析发现，DS平台对通信过程进行了严格的加密，使得安全分析人员即使捕获到payload样本也难以破译通信内容。图13DanderSpritz平台攻击设备利用无线信号通信网络攻击设备。美国国家安全局（NSA）的网络攻击设备除了依赖目标原有网络或常规移动媒体进行传播、通信和控制外，还有一类不依赖目标网络，而是利用无线信号实现信息传输，然后Bypass大多数网络安全防护手段实现信息窃取或网络攻击设备进行内网渗透。NSA可以用来收集线下室内活动（如高密度会议、研讨会等）信号的“愤怒的邻居”设备，可以主动收集视频、音频和无线信号，并将它们转换成射频特定频段的信号，通过隐蔽通信信道回传；NSA利用物理隔离网络中的Wi-Fi信号漏洞（在物理隔离网络中，经常存在因管理不善而违规私连的Wi-Fi网络）重定向入侵“床头柜”（NIGHTSTAND）设备；图14离线信号采集设备持久控制网络攻击设备。美国一直秉承“能持久的节点都持久”的理念，将其作为重要的战略资源储备，为长期的信息窃取和未来可能发生的网络战做准备。NSA的相关设备主要由特别入侵行动办公室（TAO）下属的高级网络技术团队（ANT）研发。比较有代表性的设备有针对Juniper不同系列防火墙的工具集“SOUFFLETROUGH”（SOUFFLETROUGH）和“FEEDTROUGH”，针对Cisco思科系列防火墙的“JETPLOW”，以及针对华为路由器的“JETPLOW”。适用于戴尔服务器的HEADWATER、适用于戴尔服务器的DEITYBOUNCE、适用于台式机和笔记本电脑的IRATEMONK等等。图15：针对华为防火墙的持久性后门攻击设备（4）联合网络空间攻击军事对抗的一个组成部分，在一定程度上可以反映一个国家的综合军事实力。一、主要特点军种联合协同：海陆空天网多军种联合作战，将网络攻击作为军事行动的一部分，可为其他军种提供作战协同、情报支持和舆论引导。突出军事利益：网络攻??击的目标往往是军事指挥系统或各种可以影响军事行动的目标。攻击方式多样：网络联合作战主要对目标实施软杀、硬毁的网络攻击，如麻痹、拒止、扰乱、欺骗等。2、对抗态势在网络空间联合攻击过程中，攻防双方一般处于军事对抗阶段。网络攻击往往由军事指挥机构统一指挥，并与其他军事行动密切配合。因此，联合出击呈现出强烈的军事对抗特征。具体对峙情况如图。攻防双方的交锋重点在于对整个军事交锋的控制。图16网络空间联合攻击对抗态势3.典型案例美国和俄罗斯是最早将网络攻击应用于军事行动的国家。网络攻击取得了一系列令人瞩目的成果。当前，网络作战已经成为一种新型的军事行动。(1)海湾战争开创了网络作战的先河。1991年的海湾战争中，美国率先将网络攻击引入军事战争。中情局利用特工将病毒芯片注入伊拉克从法国购买的防空系统，最终导致伊拉克指挥中心失灵。第一次海湾战争期间，伊拉克从法国购买了一批网络打印机。美国特工得知此事，用某台打印机中的芯片交换了带有固化病毒程序的芯片。病毒被激活，导致伊拉克防空指挥中心的主计算机系统瘫痪。最终，伊拉克军队被打得落花流水。（二）“舒特”网络攻击的威力2007年，为了将叙利亚核计划扼杀在萌芽状态，以色列空军第69战斗机中队的18架F-16战斗机悄然突破叙以防线。边境部署的先进俄制“托尔”-M1防空系统对叙以边境以西约100公里、大马士革东北约400公里的一处核设施进行精确轰炸，并从原路安全返回。据披露，美军“舒特”攻击系统利用远程无线电入侵，使雷达和无线电通信系统瘫痪，使叙利亚防空系统处于失效状态。“树特”作为网络化武器平台和网络化信息系统的新型网络攻击系统，代表着军事技术和作战方式的发展趋势，必将带来全新的战争格局。（三）“震网”网络物理战先行者2010年8月，伊朗在俄罗斯的帮助下建造了布什尔核电站。然而，原定于当年10月正式发电的核电站却多次被推迟。一年后，据媒体报道，3万多台电脑遭到不明计算机网络病毒的攻击，纳坦斯数以千计的离心机报废，新封顶的布什尔核电站不得不撤出。核燃料的发射被推迟，伊朗的核发展计划被迫搁置。这种后来被命名为“Stuxnet”的病毒开创了通过网络控制和破坏实体的先河。(4)网络战在俄格冲突中的作用凸显。2008年8月俄罗斯对格鲁吉亚的网络攻击是第一次与主要常规军事行动同时发生的大规模网络攻击。这些网络攻击削弱了格鲁吉亚人与外界沟通的能力，并对媒体、政府和公众的信息和心理产生了重大影响。战争爆发后，俄罗斯对格鲁吉亚的网络攻击立即全面展开，导致格鲁吉亚官方网站包括媒体、通讯和交通系统瘫痪，直接影响到格鲁吉亚的战争动员和保障能力。被称为美国网络后果部门的私营非营利组织的安全专家将俄罗斯对格鲁吉亚的网络攻击分为两个阶段。第一阶段，俄罗斯黑客发起的攻击类型主要是分布式拒绝服务（DDoS）攻击。俄罗斯攻击组织使用僵尸网络攻击格鲁吉亚政府和媒体网站。第二阶段的网络行动旨在破坏更多目标，包括名单上的金融机构、教育机构、西方媒体和格鲁吉亚黑客网站。对这些服务器的攻击不仅包括DDoS攻击，还包括篡改服务器的网站。此外，一些俄罗斯黑客使用格鲁吉亚政客的公开可用电子邮件地址发起垃圾邮件攻击。（五）网络空间全面攻击网络空间全面攻击是针对政治、军事、外交、经济、心理、文化等领域的全方位攻击。这个阶段，国家进入全面对抗阶段，可以体现一个国家的综合实力。一、主要特点战略驱动：网络攻击行动与各国战略目标相衔接，可作为实现国家战略意图的新型手段。全方位对抗：配合军事战、政治战、外交战、经济战、心理战、媒体战、文化战等多种斗争形式，发挥全方位对抗作用。2.对策在网络空间的整体攻击过程中，攻击者和防御者一般都是国家实体，网络攻击的目标涵盖各个行业。攻击的结果不仅是特定的，而且往往会产生溢出效应。具体对峙情况如图。攻守双方交锋的重点是争取民族斗争的主动权。图17网络空间整体攻击对抗态势3.典型案例（一）“Mailgate”事件影响美国大选走向在一系列影响大选的网络黑客事件中，“Mailgate”是舆论关注度最高的事件。民主党提名大会召开前夕，世界知名泄密网站维基解密披露了民主党高层的19252封绝密邮件、8034个附件、29个音频文件等。人，并卷入“洗钱”、操纵媒体等多起丑闻。FBI宣布对“电子邮件门”展开调查引发舆论哗然，特朗普的支持率迅速缩小与希拉里的差距。11月7日，距离大选不到一天，FBI宣布维持7月份的调查结论。在整个选举过程中，两位总统候选人都借机互相揭发。美国政府和主流媒体认为，俄罗斯是近期美国总统大选遭受黑客攻击的“幕后黑手”。黑客攻击造成的电子邮件泄露是为了帮助具有亲俄政治倾向的特朗普成为总统。（二）委内瑞拉大面积停电2019年，委内瑞拉发生全国大面积停电。首都加拉加斯和其他大部分地区陷入黑暗。全国18个州供电中断，只有5个州幸免。电力系统在没有任何征兆的情况下突然崩溃。停电给委内瑞拉带来了巨大损失。全国交通瘫痪，地铁系统关闭，医院运营中断，所有通讯线路中断，航班无法正常起降。委内瑞拉官方认为，此次事故是委内瑞拉最大的古里水电站因遭到反对派和美国的网络攻击而关闭造成的。美国曾多次与哥伦比亚和委内瑞拉反对派合作，从互联网上对委内瑞拉使用类似的网络病毒武器，导致该国发电设施和供电设施停运。下一页《五大网络空间攻击威胁及应对策略(下)》