近日,国家计算机病毒应急处理中心就美国政府对各国开展网络攻击发出预警,并发布相关报告曝光了美国政府专用的“轻量化”网络武器,对美国在全球范围部署网络攻击平台的行为表示谴责。
美国本次网络攻击其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行后台控制,为后续持续投送“重型”武器网络攻击创造条件。
美国中央情报局(CIA)运用该武器平台根据攻击目标特征定制适配多种操作系统的恶意代码程序,对受害单位信息系统的边界路由器和内部主机实施攻击入侵,植入各类木马、后门,实现远程控制,对全球范围内的信息系统实施无差别网络攻击。
研究人员在接受《环球时报》采访中指出,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”,从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中(服务器、交换设备、传输设备和上网终端),只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能包含零日(0day)或各类后门程序(Backdoor),就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都“如实”展现在美国情治机构面前,成为其对全球目标实施攻击破坏的“把柄”和“素材”。
“蜂巢”平台由CIA下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,系CIA专用的网络攻击武器装备,该装备具有以下特点。
该武器是典型的美国军工产品,模块化、标准化程度高,扩展性好,表明美国已实现网络武器的“产学研一体化”。这些武器可根据目标网络的硬件、软件配置和存在后门、漏洞情况自主确定攻击方式并发起网络攻击,可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。
其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的能力;其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条,具备统一指挥操控能力,已基本实现人工智能化。这同时也可以证明,CIA对他国发动网络黑客攻击的武器系统已经实现体系化、规模化、无痕化和人工智能化。
该平台采用C/S架构,主要由主控端、远程控制平台、生成器、受控端程序等4部分组成。CIA攻击人员利用生成器生成定制化的受控端恶意代码程序,服务器端恶意代码程序被植入目标系统并正常运行后,会处于静默潜伏状态,实时监听受控信息系统网络通信流量中具有触发器特征的数据包,等待被“唤醒”。
CIA攻击人员可以使用客户端向服务器端发送“暗语”,以“唤醒”潜伏的恶意代码程序并执行相关指令,之后CIA攻击人员利用名为“割喉”的控制台程序对客户端进行操控。为躲避入侵检测,发送“暗语”唤醒受控端恶意代码程序后,会根据目标环境情况临时建立加密通信信道,以迷惑网络监测人员、规避技术监测手段。
此外,为进一步提高网络间谍行动的隐蔽性,CIA在全球范围内精心部署了“蜂巢”平台相关网络基础设施。从已经监测到的数据分析,CIA在主控端和被控端之间设置了多层动态跳板服务器和VPN通道,这些服务器广泛分布于加拿大、法国、德国、马来西亚和土耳其等国,有效隐藏自身行踪,受害者即使发现遭受“蜂巢”平台的网络攻击,也极难进行技术分析和追踪溯源。
CIA为了满足针对多平台目标的攻击需求,针对不同CPU架构和操作系统分别开发了功能相近的“蜂巢”平台适配版本。根据目前掌握的情况,“蜂巢”平台可支持现有主流的CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及网络设备专用操作系统等。
从攻击目标类型上看,CIA特别关注MikroTik系列网络设备。MikroTik公司的路由器等网络设备在全球范围内具有较高流行度,特别是其自研的RouterOS操作系统,被很多第三方路由器厂商所采用,因此CIA对这种操作系统的攻击能力带来的潜在风险难以估量。
CIA特别开发了一个名为“Chimay-Red”的MikroTik路由器漏洞利用工具,并编制了详细的使用说明。该漏洞利用工具利用存在于MikroTikRouterOS 6.38.4及以下版本操作系统中的栈冲突远程代码执行漏洞,实现对目标系统的远程控制。
“蜂巢”平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告。
美国情治部门的网络攻击是迫在眉睫的现实威胁,全球重要信息基础设施成美“情报站”,针对带有美国“基因”的计算机软硬设备的攻击窃密如影随形。避免遭受美国黑客攻击的权宜之计是采用自主可控的国产化设备。
六方云作为自主可控的工业互联网安全厂商,努力护航国家关键基础设施建设,六方云自主研发的全流量威胁检测与回溯系统(神探)采用AI+技术,在检测防范“蜂巢”类的零日攻击或后门监听窃密活动方面具有特别的优势。
六方云全流量威胁检测与回溯系统(神探),文件探针搭载了自主研发的熵值恶意代码机器学习模型,其通过海量恶意文件训练,支持常见恶意文件种类,如后门木马、勒索病毒、蠕虫病毒、间谍软件、挖矿病毒等多类文件检测。
相较于传统沙箱技术,基于熵值模型进行恶意代码检测的实时性大大增强,将传统的沙箱运行检测速度提升至秒级;恶意代码模型由六方云算法实验室基于海量黑白样本训练而成,提取恶意代码的高维特征,不再依赖于样本的静态特征,能有效检测变种威胁及未知恶意文件。
02.
基于人工智能机器学习进行网络行为分析,通过蛛丝马迹的捕捉让窃密监听类后门程序无处藏身
基于人工智能技术进行海量数据的机器学习自适应异常行为分析,是一种检测未知威胁的一种新型技术,它是一种通过不断收集历史流量数据,建立流量和行为模型的一种“动态检测”技术,有别于基于特征检测设备只能检测到库文件中已有威胁的“静态检测”。
通过搜集大量参数id的正常的参数值,建立起一个能表达所有正常值的正常模型,那么一切不满足于该正常模型的参数值,即为异常。机器学习技术可以通过对流经设备的流量进行连续、实时监控来分析流量信息,利用统计分析、关联分析和机器学习等多种技术手段来建立流量和用户或应用行为中的正常行为模型,并以此模型来发现异常行为。
要知道,利用后门对软件或系统进行访问、操作控制的行为一定是偏离日常使用的用户操作行为的。一旦这种偏离基线的行为出现,神探就会迅速报警为异常,帮助客户在最短时间内定位、排除后门活动的威胁。
03.
基于深度学习算法,准确检测恶意加密流量和隐蔽隧道,让提前潜伏进入或嵌入的后门程序寸步难行
加密流量及隐蔽隧道为后门程序的网络活动提供了良好的通道,而传统的检测方式是无法识别“加密且看似正常”的威胁的。六方云全流量威胁检测与回溯系统(神探)通过对恶意加密流量、隐蔽隧道特征的提取和特征综合分析,来实现对恶意加密流量、隐蔽隧道的检测,从而阻止其带来的威胁。
六方云全流量威胁检测与回溯系统(神探)采用一种在不解密流量的情况,利用人工智能算法检测恶意软件HTTPS流量的技术,通过对加密流量中的关键字段进行建模分析,精准判断网络中的恶意加密流量。
另一方面,六方云全流量威胁检测与回溯系统(神探)实现DNS隧道检测是以源IP、目的IP、源端口为维度对过设备的DNS报文进行特征提取和统计,包括DNS请求域名长度、是否遵循域名命名使用规范、DNS响应报文MX类型和CNAME类型的answer部分数据长度、DNS请求报文个数等,当检测到存在隧道攻击的时候,会生成相应的安全事件,从而产生相关报警。
随着数字化转型的加速进行,未来社会和组织对于互联网的依赖性将进一步提升,与此同时,网络战所带来的后果也将变的更加难以想象。一方面企业用户要高度重视国家出台的多部网络安全法律法规如《网络安全法》《网络安全等级保护条例》《关键基础设施保护条例》等多部法律法规,同时也需要进行自主可控的国产化设备和操作系统布局,避免因网络战而遭受巨大损失。
