一、安全隔離網(wǎng)絡(luò)高級(jí)威脅簡(jiǎn)介

維基解密于2017年6月22日解密了美國(guó)中央情報(bào)局(CIA)穹頂7(Vault7)網(wǎng)絡(luò)武器庫中的第十二批檔案，分別是“野蠻袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian)”項(xiàng)目，被披露的檔案中詳細(xì)描述了美國(guó)情報(bào)機(jī)構(gòu)如何遠(yuǎn)程隱蔽地入侵訪問封閉的計(jì)算機(jī)網(wǎng)絡(luò)或獨(dú)立的安全隔離網(wǎng)絡(luò)(Air-Gapped Devices，從未連接過互聯(lián)網(wǎng)的設(shè)備)。

一般金融機(jī)構(gòu)、軍事機(jī)構(gòu)、核設(shè)施和能源基礎(chǔ)行業(yè)等都會(huì)使用無法訪問互聯(lián)網(wǎng)的封閉網(wǎng)絡(luò)以保護(hù)重要數(shù)字資產(chǎn)，重要數(shù)字資產(chǎn)處在隔離網(wǎng)絡(luò)中，黑客無法直接攻擊這些目標(biāo)，傳統(tǒng)的黑客滲透攻擊手段都會(huì)失效。但隔離網(wǎng)絡(luò)并不代表著絕對(duì)安全，它只能隔離計(jì)算機(jī)數(shù)字資產(chǎn)的網(wǎng)絡(luò)訪問，無法阻斷物理介質(zhì)傳輸數(shù)據(jù)和物理設(shè)備的接入，比如U盤、光盤等物理數(shù)據(jù)存儲(chǔ)介質(zhì)，鍵盤、鼠標(biāo)等硬件設(shè)備，非安全的硬件設(shè)備和數(shù)據(jù)傳輸介質(zhì)進(jìn)入隔離網(wǎng)絡(luò)，極有可能成為黑客滲透入侵隔離網(wǎng)絡(luò)的橋梁。

二、“震網(wǎng)三代”隔離網(wǎng)攻擊流程簡(jiǎn)介

2010年6月，“震網(wǎng)”病毒首次被發(fā)現(xiàn)，它被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，使用了4個(gè)Windows 0day漏洞用于攻擊伊朗的封閉網(wǎng)絡(luò)中的核設(shè)施工控設(shè)備，我們定義它為“震網(wǎng)一代”。時(shí)隔兩年，2012年5月，“火焰”病毒利用了和“震網(wǎng)一代”相同的Windows 漏洞作為網(wǎng)絡(luò)武器攻擊了多個(gè)國(guó)家，在一代的基礎(chǔ)上新增了更多的高級(jí)威脅攻擊技術(shù)和0day漏洞，我們定義它為“震網(wǎng)二代”。此次披露的CIA網(wǎng)絡(luò)武器資料表明，其攻擊封閉網(wǎng)絡(luò)的方式和前兩代“震網(wǎng)”病毒的攻擊方式相似，并使用了新的未知攻擊技術(shù)，我們定義它為“震網(wǎng)三代”。下面會(huì)著重分析其對(duì)安全隔離網(wǎng)絡(luò)的攻擊手段，以供業(yè)界參考發(fā)現(xiàn)和防護(hù)此類高級(jí)威脅攻擊。

此次披露的CIA網(wǎng)絡(luò)武器主要針對(duì)微軟Windows操作系統(tǒng)進(jìn)行攻擊，通過USB存儲(chǔ)介質(zhì)對(duì)安全隔離網(wǎng)絡(luò)進(jìn)行滲透攻擊和竊取數(shù)據(jù)：

1. 首先，它會(huì)攻擊與目標(biāo)相關(guān)聯(lián)的可以連接互聯(lián)網(wǎng)的計(jì)算機(jī)，在計(jì)算機(jī)中植入惡意感染程序。

2. 然后，凡是接入被感染計(jì)算機(jī)的USB存儲(chǔ)設(shè)備(如：U盤)，都會(huì)被再次植入惡意程序，整個(gè)U盤將會(huì)變成一個(gè)數(shù)據(jù)中轉(zhuǎn)站，同時(shí)也是一個(gè)新的感染源。

3. 接下來，如果這個(gè)被感染的U盤在封閉網(wǎng)絡(luò)中被用于拷貝數(shù)據(jù)的話，U盤就會(huì)感染封閉網(wǎng)絡(luò)中的計(jì)算機(jī)，同時(shí)偷竊計(jì)算機(jī)中的數(shù)據(jù)并秘密保存在U盤中。

4. 最后，被感染的U盤一旦被帶出隔離網(wǎng)絡(luò)，連接到可以聯(lián)網(wǎng)的計(jì)算機(jī)時(shí)，竊取的數(shù)據(jù)就會(huì)被傳送回CIA。

更可怕的是，多臺(tái)封閉網(wǎng)絡(luò)中被感染的計(jì)算機(jī)彼此間會(huì)形成一個(gè)隱蔽的網(wǎng)絡(luò)，用于數(shù)據(jù)交換和任務(wù)協(xié)作，并在封閉網(wǎng)絡(luò)中持續(xù)潛伏攻擊。

震網(wǎng)三代攻擊演示視頻：http://weibo.com/tv/v/F90MPyYOH三、“震網(wǎng)三代”隔離網(wǎng)攻擊方式分析

攻擊安全隔離網(wǎng)絡(luò)的關(guān)鍵技術(shù)是針對(duì)USB存儲(chǔ)設(shè)備的感染技術(shù)，在“震網(wǎng)一代”病毒中該技術(shù)使用的是Windows快捷方式文件解析漏洞(CVE-2010-2568/MS10-046)，這個(gè)漏洞利用了Windows在解析快捷方式文件(例如.lnk文件)時(shí)的系統(tǒng)機(jī)制缺陷，可以使系統(tǒng)自動(dòng)加載攻擊者指定的DLL文件，執(zhí)行其中的惡意代碼。該漏洞的利用效果穩(wěn)定且隱蔽，具有非常強(qiáng)大的感染能力，將利用了漏洞的快捷方式文件置于USB存儲(chǔ)設(shè)備(如U盤)中，無需任何用戶交互，受害者只要打開設(shè)備就會(huì)被自動(dòng)攻擊控制電腦。

“震網(wǎng)二代”病毒使用了一種新的攻擊隱蔽技術(shù)，參考下圖中賽門鐵克報(bào)告中的分析，攻擊會(huì)使用一個(gè)文件夾，文件夾中放有desktop.ini、target.lnk和mssecmgr.ocx三個(gè)文件。

“震網(wǎng)二代”病毒在desktop.ini文件中通過shellclassinfo字段設(shè)置classid，會(huì)將文件夾重定向到一個(gè)Junction文件夾，Junction是Windows(NTFS)特有的一種鏈接方式，和軟鏈接類似，但Junction只針對(duì)文件夾，下面會(huì)再詳細(xì)分析。受害者打開文件夾會(huì)觸發(fā)target.lnk漏洞攻擊執(zhí)行惡意代碼，同時(shí)還能夠隱藏保護(hù)文件夾中的惡意文件和lnk漏洞文件。

維基解密曝光的CIA網(wǎng)絡(luò)武器檔案中描述了三種未知的Windows快捷方式文件漏洞攻擊方法和一些漏洞攻擊隱蔽技術(shù)，這三種未知的攻擊分別是：Giraffe Links(長(zhǎng)頸鹿快捷文件)、Lachesis LinkFiles (拉克西斯快捷文件)和Riverjack(杰克河快捷方式文件)， 疑似為微軟于2017年6月13日公告修復(fù)的新的快捷方式文件解析漏洞 CVE-2017-8464。下面我們先來介紹這三種安全隔離網(wǎng)絡(luò)的攻擊方式：

1. Giraffe Links(長(zhǎng)頸鹿快捷文件攻擊)，該攻擊特點(diǎn)是只要桌面進(jìn)程顯示了快捷方式文件就會(huì)自動(dòng)加載dll執(zhí)行惡意代碼，可以成功攻擊除開Windows XP系統(tǒng)以外的所有windows系統(tǒng)。這個(gè)攻擊場(chǎng)景包含了所有的快捷方式場(chǎng)景，也就是無論是在U盤中的快捷方式文件還是系統(tǒng)中的快捷方式文件，只要電腦顯示了快捷方式，就會(huì)被攻擊。1. Giraffe Links(長(zhǎng)頸鹿快捷文件攻擊)，該攻擊特點(diǎn)是只要桌面進(jìn)程顯示了快捷方式文件就會(huì)自動(dòng)加載dll執(zhí)行惡意代碼，可以成功攻擊除開Windows XP系統(tǒng)以外的所有windows系統(tǒng)。這個(gè)攻擊場(chǎng)景包含了所有的快捷方式場(chǎng)景，也就是無論是在U盤中的快捷方式文件還是系統(tǒng)中的快捷方式文件，只要電腦顯示了快捷方式，就會(huì)被攻擊。

“野蠻袋鼠(Brutal Kangaroo)”文檔片段1

2. Lachesis LinkFiles (拉克西斯快捷文件攻擊，“Lachesis”源自希臘神話中命運(yùn)三女神之一)，該攻擊特點(diǎn)需要autorun.inf文件配合快捷方式文件，在U盤設(shè)備插入計(jì)算機(jī)系統(tǒng)時(shí)加載autorun.inf文件，然后自動(dòng)加載dll執(zhí)行惡意代碼。這個(gè)攻擊場(chǎng)景只限于U盤等USB存儲(chǔ)設(shè)備插入電腦時(shí)，而且只能攻擊Windows 7系統(tǒng)。1. Lachesis LinkFiles (拉克西斯快捷文件攻擊，“Lachesis”源自希臘神話中命運(yùn)三女神之一)，該攻擊特點(diǎn)需要autorun.inf文件配合快捷方式文件，在U盤設(shè)備插入計(jì)算機(jī)系統(tǒng)時(shí)加載autorun.inf文件，然后自動(dòng)加載dll執(zhí)行惡意代碼。這個(gè)攻擊場(chǎng)景只限于U盤等USB存儲(chǔ)設(shè)備插入電腦時(shí)，而且只能攻擊Windows 7系統(tǒng)。

“野蠻袋鼠(Brutal Kangaroo)”文檔片段2

3. Riverjack(杰克河快捷方式文件，“Riverjack“美國(guó)北卡羅來納州一個(gè)地名)，該攻擊的特點(diǎn)是使用了Windows文件資源管理器的“庫”功能進(jìn)行隱蔽攻擊，不需要顯示快捷方式文件且可以隱藏快捷方式文件，可以攻擊Windows 7,8,8.1系統(tǒng)，從技術(shù)角度分析由于Windows文件資源管理器的“庫”功能只支持Windows 7及其以上的操作系統(tǒng)，所以這個(gè)功能和漏洞無關(guān)，是一個(gè)擴(kuò)展的攻擊隱蔽技術(shù)或漏洞利用保護(hù)技術(shù)。1. Riverjack(杰克河快捷方式文件，“Riverjack“美國(guó)北卡羅來納州一個(gè)地名)，該攻擊的特點(diǎn)是使用了Windows文件資源管理器的“庫”功能進(jìn)行隱蔽攻擊，不需要顯示快捷方式文件且可以隱藏快捷方式文件，可以攻擊Windows 7,8,8.1系統(tǒng)，從技術(shù)角度分析由于Windows文件資源管理器的“庫”功能只支持Windows 7及其以上的操作系統(tǒng)，所以這個(gè)功能和漏洞無關(guān)，是一個(gè)擴(kuò)展的攻擊隱蔽技術(shù)或漏洞利用保護(hù)技術(shù)。

“野蠻袋鼠(Brutal Kangaroo)”文檔片段3

下面我們來著重分析下Riverjack(杰克河快捷方式文件)攻擊方式，根據(jù)CIA檔案我們發(fā)現(xiàn)該攻擊隱蔽技術(shù)的細(xì)節(jié)，該攻擊方式分為四個(gè)部分：快捷方式文件夾、Junction文件夾、“庫”文件和快捷方式文件，前面三部分是攻擊隱蔽技術(shù)，用正常的系統(tǒng)特性隱藏快捷方式文件的漏洞攻擊，四個(gè)部分結(jié)合起來就成為了更難以被發(fā)現(xiàn)的高級(jí)威脅攻擊，可以在被攻擊系統(tǒng)中長(zhǎng)期潛伏。

首先，給將普通文件夾改名成設(shè)定成指定類型的classid，如.， 它將會(huì)變成一個(gè)Junction Foldersrs。

假設(shè)給文件夾設(shè)置一個(gè)不存在的classid名24138469-5DDA-479D-A150-3695B9365DC0}

打開這個(gè)文件夾后，桌面進(jìn)程會(huì)查詢這個(gè)不存在的classid注冊(cè)表鍵。

然后，如果直接設(shè)置這個(gè)注冊(cè)表鍵值指向一個(gè)固定位置的dll文件，那么打開這個(gè)文件夾后會(huì)關(guān)聯(lián)verclsid.exe 加載這個(gè)dll執(zhí)行代碼。

同時(shí)，如果在用戶啟動(dòng)目錄中加入這個(gè)Junction文件夾，在電腦重啟時(shí)也會(huì)觸發(fā)加載這個(gè)dll文件執(zhí)行代碼。

接下來，CIA檔案中還介紹了利用Windows Libray(庫)文件的攻擊隱藏技術(shù)，它是在Windows7及其以上系統(tǒng)中資源管理器一種新的快捷方式特性，它的本質(zhì)是一個(gè)xml配置文件，可以支持指向上文分析的Junction文件夾，在xml文件中指定foldertype和knownfolder字段就可以構(gòu)造惡意的”庫”快捷方式。

最后，我們會(huì)發(fā)現(xiàn)野蠻袋鼠項(xiàng)目與震網(wǎng)一、二代病毒相比，利用系統(tǒng)特性更新了一些新的攻擊技術(shù)，但仍然是以windows快捷方式文件解析漏洞為核心。在“震網(wǎng)一代“病毒中使用的核心漏洞是windows快捷方式文件解析漏洞(CVE-2010-2568/MS10-046)，時(shí)隔5年后，安全研究員Michael Heerklotz繞過該漏洞補(bǔ)丁中的安全限制，發(fā)現(xiàn)了第二個(gè)windows快捷方式文件解析漏洞(CVE-2015-0096/MS15-020 )，此漏洞的技術(shù)細(xì)節(jié)一經(jīng)披露就被黑客瘋狂利用。近日，微軟于2017年6月13日公告修復(fù)了第三個(gè)快捷方式文件解析漏洞 CVE-2017-8464，但在6月13日的安全公告中并沒有標(biāo)明任何漏洞來源，也沒有發(fā)現(xiàn)黑客在野外利用該漏洞。

奇怪的是在一周后維基解密曝光了CIA的網(wǎng)絡(luò)武器“野蠻袋鼠(Brutal Kangaroo)”和“激情猿猴(Emotional Simian)，根據(jù)上文我們的技術(shù)分析，再結(jié)合該項(xiàng)目檔案中的項(xiàng)目開發(fā)時(shí)間節(jié)點(diǎn)，我們推測(cè)該項(xiàng)目利用的核心漏洞就是最新的CVE-2017-8464。

四、“沖擊鉆”攻擊技術(shù)簡(jiǎn)介

維基解密的創(chuàng)始人阿桑奇于2017年3月9日左右發(fā)布一段2分鐘的視頻專門解釋了一個(gè)入侵安全隔離網(wǎng)的網(wǎng)絡(luò)武器“沖擊鉆(HammerDrill)”，并在3月19日在維基解密網(wǎng)站公布了該項(xiàng)目詳細(xì)開發(fā)文檔。

“沖擊鉆(HammerDrill)”是通過劫持Windows系統(tǒng)上的光盤刻錄軟件，感染光盤這類數(shù)據(jù)傳輸介質(zhì)的方式，以達(dá)到入侵隔離網(wǎng)絡(luò)目的。在該項(xiàng)目的開發(fā)文檔中詳細(xì)介紹了感染光盤的步驟，下面我們來簡(jiǎn)要分析解讀下：

1. 沖擊鉆會(huì)啟動(dòng)一個(gè)線程通過wmi接口來監(jiān)控系統(tǒng)進(jìn)程。

2. 如果在進(jìn)程列表中發(fā)現(xiàn)EXE, NEROEXPRESS.EXE and NEROSTARTSMART.EXE三個(gè)進(jìn)程名，就會(huì)往進(jìn)程中注入一個(gè)惡意的dll文件,并劫持進(jìn)程的讀文件操作。

3. 如果發(fā)現(xiàn)光盤刻錄軟件讀入了PE可執(zhí)行文件，就篡改文件注入shellcode惡意代碼。

最終，光盤刻錄軟件讀取編輯的PE可執(zhí)行文件都會(huì)被感染，這個(gè)光盤將成為一個(gè)惡意感染源，如果光盤被接入隔離網(wǎng)絡(luò)使用，計(jì)算機(jī)操作人員不慎運(yùn)行或安裝了其中的軟件，黑客也就成功滲透了隔離網(wǎng)絡(luò)。由于資料只披露了HammerDrill2.0的開發(fā)筆記，沒有利用高級(jí)的安全漏洞技術(shù)，但在技術(shù)上推測(cè)實(shí)際上可以作為“震網(wǎng)三代”的一個(gè)輔助攻擊組件，配合震網(wǎng)三代感染光盤等軟數(shù)據(jù)存儲(chǔ)介質(zhì)。

五、“BadUSB”攻擊技術(shù)簡(jiǎn)介

在維基解密披露的CIA知識(shí)庫文檔中還介紹了“BadUSB”技術(shù)，實(shí)際上這是近年計(jì)算機(jī)安全領(lǐng)域最熱門的攻擊技術(shù)之一，黑客已經(jīng)廣泛利用了該技術(shù)。“BadUSB”主要是利用惡意的HID(Human InterfaceDevice，是計(jì)算機(jī)直接與人交互的設(shè)備，例如鍵盤、鼠標(biāo)等)設(shè)備和無線網(wǎng)卡設(shè)備進(jìn)行攻擊，而與正常的普通的HID設(shè)備不同，這類設(shè)備被黑客定制小型化，外形和一個(gè)U盤沒有任何差別。

類似的HID設(shè)備一旦插入電腦就會(huì)被模擬成鍵盤自動(dòng)輸入惡意代碼運(yùn)行，而NSA(美國(guó)國(guó)家安全局)的另外一個(gè)強(qiáng)大的無線間諜工具水蝮蛇一號(hào)(COTTONMOUTH-I)，也是看起來像一個(gè)普通U盤，但實(shí)際上是一個(gè)惡意的小型電腦，在被披露的文檔中介紹了它可以創(chuàng)建一個(gè)無線橋接網(wǎng)絡(luò)接入到目標(biāo)網(wǎng)絡(luò)中，然后通過這個(gè)無線網(wǎng)絡(luò)控制目標(biāo)電腦。

所以，黑客仍然有可能通過惡意的USB設(shè)備入侵滲透隔離網(wǎng)絡(luò),但這類攻擊并不具備震網(wǎng)三代病毒那樣強(qiáng)大的自動(dòng)感染傳播能力。

六、安全隔離網(wǎng)絡(luò)高級(jí)威脅攻擊防御建議

防范震網(wǎng)三代(CVE-2017-8464)，廣大用戶和企事業(yè)單位應(yīng)及時(shí)安裝微軟6月補(bǔ)丁修復(fù)漏洞。360安全衛(wèi)士及天擎等產(chǎn)品也已針對(duì)震網(wǎng)三代的漏洞利用特征更新了防護(hù)規(guī)則，能夠精準(zhǔn)攔截和查殺震網(wǎng)三代攻擊樣本。

同時(shí)，在隔離網(wǎng)絡(luò)中的計(jì)算機(jī)操作人員仍然需要提高安全意識(shí)，注意到封閉的隔離網(wǎng)絡(luò)并不意味著絕對(duì)安全，對(duì)于高安全級(jí)別的隔離網(wǎng)絡(luò)除了要修復(fù)系統(tǒng)和軟件的安全漏洞，還要隔絕一切不被信任的外部數(shù)據(jù)存儲(chǔ)介質(zhì)和硬件設(shè)備。