五大网络空间攻击威胁及应对策略（上）

本文 8757字   阅读约需 29分钟

本文通过对网络攻击案例的梳理，归纳整理当前面临的五大网络空间攻击威胁，并提出相关应对策略，以期在未来的网络空间攻防对抗中获得主动。此次发布为文章的上半部分，主要分析五大网络空间攻击威胁。

网络空间攻击态势发生了深刻的变化。现在网络攻击不仅仅是黑客肆意妄为的个人行为，越来越多的国家级力量参与到网络攻击行动中，网络空间业已成为大国间政治角力的新战场。

通过对网络攻击案例进行分析梳理，可以将网络空间攻击威胁归纳为五大类型——网络空间单点攻击、系统攻击、体系攻击、联合攻击和总体攻击。（如图1所示）五大网络攻击威胁在攻击目标、攻击手段、攻击特征、威胁程度等维度均有所不同。

图1 网络空间五大攻击威胁

（一）网络空间单点攻击

网络空间单点攻击是一种对抗烈度较低的攻击形态。攻击目标聚焦单一目标或简单系统，攻击人员由个人或小团队组成，攻击装备主要由漏洞装备和控守装备构成，攻击成果往往体现为获取重要信息或数据。

1、主要特点

2、对抗态势

网络空间单点攻击过程中，攻击方主要有少数人员组成，使用突破工具和控制工具通过多种攻击手法向特定具体目标实施攻击，具体行动包括目标探测、漏洞攻击、远程控制、安防绕过等。

防御方则由系统厂商、设备厂商、应用厂商对目标资产进行自我安全防护，以及安全厂商进行外部安全防护，具体行动有修补漏洞、安全加固、病毒查杀等。

攻防双方对抗的焦点聚焦于具体目标的突破与反突破、控制与反控制。具体对抗态势如图2所示。

图2 网络空间单点攻击对抗态势

3、典型案例

网络空间单点攻击由于实施条件要求不高、攻击流程相对简单，是绝大多数APT组织常用的攻击样式。攻击人员常通过社会工程学或已知远程漏洞攻击等方式获取目标控制权，达到获取敏感信息的目的。

（1）RSA SecurID窃取攻击

EMC公司下属的RSA公司遭到入侵，黑客通过钓鱼邮件攻击方式获取公司部分技术内容及客户资料被窃取。

攻击流程：

① 攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件，邮件附件为”2011 Recruitment Plan.xls“的文件。

② 其中一位员工将其从垃圾邮件中取出来阅读，被当时的Adobe Flash的0day漏洞（CVE-2011-0609)命中。

③ 该员工电脑被植入木马，开始从僵尸网络（BotNet）的C&C服务器下载指令执行。

④ 首批受害的使用者并非高地位的人，紧接着IT与非IT服务器管理员相继被黑。

⑤ RSA发现开发用服务器遭入侵，攻击者立即撤回并将所有资料加密以FTP的方式传送回远程主机，完成入侵。

（2）针对马拉维(Malawi)国民银行的网络攻击

在这一系列攻击事件中，有四家马拉维国民银行的地方分行，成为攻击者的重要目标，其中大南部区（southend）官方客服邮箱已经被攻击者盗用。攻击者利用事先从国民银行部分地区分行盗取的官方邮箱口令，向其他分行工作人员发送带有恶意文档附件的邮件，作为附件的恶意文档利用CVE-2014-6352漏洞发起攻击。此漏洞可以绕过“沙虫”漏洞（SandWorm）补丁MS14-060的安全保护。漏洞利用成功后，样本会执行名为“Target.scr”的可执行程序，该程序由攻击者基于开源代码修改编译生成，攻击者在重写了main函数代码，程序运行时并不会调用开源代码原有的功能函数，而是内存展开执行内嵌的DarkComet远控木马，进而向目标系统发起攻击。

图3 单点攻击流程图

通过以上案例可以看到，攻击主要利用漏洞和远程控制等主要攻击武器，针对终端、WEB服务器等攻击面，掌控目标控制权后实施获取相关情报。

（二）网络空间系统攻击

网络空间系统攻击是针对大型机构或组织的复杂网络开展的对抗烈度较高的攻击形态，其攻击成果体现在针对大型机构复杂网络系统进行长期隐蔽控制、获取重要情报和致瘫核心业务等。

1、主要特点

图4  一般大型机构跨网跨域复杂场景示意图

2、对抗态势

网络空间系统攻击过程中，攻击方人员具有一定规模且分工协作，除了渗透人员还有漏洞挖掘、数据分析和行业专家人员。攻击装备方面往往储备了一批0Day漏洞工具和设备持久化后门等高等级工具。对攻击目标方面注重攻击面情况、社工情况以及内部未公开情况的收集。

防御方则除系统厂商、设备厂商、应用厂商外还有工控厂商；安全厂商除了传统安全厂商外，还有威胁分析厂商和安全审计厂商等。此外，还有一些重点机构和政府力量进行专门防护。

攻防双方对抗的焦点聚焦于复杂系统的整体控制权。具体对抗态势如图5所示。

图5 网络空间系统攻击对抗态势

3、典型案例

美军长期通过网络空间系统攻击实现其网络作战目标，美方在开展网络攻击遵循作战原则，非常注重规模效益、强调攻击效率、突出作战效果，在攻击目标选取上重点针对“电信运营商、关键基础设施、骨干网络设备、网络管理人员、应用服务器（邮件服务器、域名服务器、WEB服务器等）”等目标，在初次网络突破环节更多采用“中间人攻击、供应链攻击、网络设备攻击、摆渡攻击、网管人员攻击”等方式，在网络目标控制攻击环节常用“零日漏洞、控制平台、持久化后门、内网横向拓展”等手段。在安全隐蔽的前提下，实现对各种网络目标的规模化突破和持久隐蔽控制。

（1）奥林匹克（Olympic Game）行动

针对伊朗核设施的“奥运会”（Olympic Game）行动，最终通过“震网”(Stuxnet) 蠕虫，成功入侵并破坏伊朗核设施，严重迟滞了伊朗核计划，成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。

图6 震网病毒攻击示意图

NSA针对伊朗核设施关键基础设施目标采取多种手段综合运用进行攻击。

① 核设施目标信息收集，通过各种情报收集方式收集核设施设备型号、系统版本及网络结构等信息。

② 摆渡方式实施突破植入，通过人力方式将感染U盘带入内部网络，借助USB摆渡+基于漏洞的横向移动。染毒U盘利用快捷方式文件解析漏洞，传播到内部网络。

③ 内网横向拓展攻击，在内网中，通过快捷方式解析漏洞、RPC远程执行漏洞、印机后台程序服务漏洞，实现联网主机之间的传播；最后抵达安装了WinCC软件的主机，展开攻击。

④ 工控系统致瘫攻击，在内网环境中横向拓展过程中，扫描查找安装有Siemens Step7、WinCC/PCS 7 SCADA控制软件的主机并进行感染。通过修改管理西门子PLC参数工具载荷导致核设施转速不正常从而损毁。

（2）金色极光(AURORAGOLD)行动

NSA在针对全球手机监听的“金色极光”（AURORAGOLD）行动，通过收集关于全球移动通讯运营商内部系统的信息，以找到其漏洞，供随后的黑客攻击使用，该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息。

图7 金色极光行动计划报告

NSA针对运营商目标通常从内部员工作为突破口进行迂回攻击。根据曝光资料显示，美方曾对巴基斯坦国家电信公司（简称NTC）、黎巴嫩运营商（OGERO ISP）等运营商进行网络攻击。

① 内部员工目标信息收集，通过棱镜计划和关键得分计划等项目，使用被动定位方式识别到了NTC的员工，评估当前识别出其与NTCVIP部门的联系。由SIGDEV针对已知的被Selector（NSA精确识别系统）标记出来的目标，去定位其他有联系的目标。至此成功使用被动方式定位识别到了NTC VIP部门专门运营维护Green Exchange的员工。

② 内部员工中间人攻击，通过与R&T一起使用SECONDDATE 和QUANTUM项目，成功将4个新式CNE accesses植入到Green Exchange中。

③ 核心骨干网络内网攻击，通过研制的CNE访问攻击载荷，成功控制VIP 部门和一个用于收集Green Exchange的基础线路。该部分是用来维护Green Exchange（绿区交换机，位于安全区域）。Green Exchange房间放置着ZXJ-10（程控交换机，用于电话网络）。这几台程控交换机是巴基斯坦 Green Line 通信网络的骨干（这个网络专门为巴基斯坦高级官员和军事领导提供服务），至此实现掌控核心骨干网的网络攻击目标。

（三）网络空间体系攻击

网络空间体系攻击是通过体系化建设提升网络攻击能力且对抗烈度很高的攻击形态，网络攻防体系不局限于某一类特定目标，而是面向整个网络空间保持持续性网络攻击能力，是一个国家网络空间综合能力的集中体现。

1、主要特点

2、对抗态势

网络空间系统攻击过程中，攻击方和防守方是体系与体系的对抗，除了配备大量攻防工具装备系统之外，还有各种支撑保障系统建设，此外投入力量方面需要各个环节企业和国家各部门共同参与。具体对抗态势如图所示，攻防双方对抗的焦点聚焦于整个网络空间的的整体控制权。

图8 网络空间体系攻击对抗态势

3、典型案例

美方网络空间中形成强大的体系化的监听、攻击和主动防御能力。长期以来，特别重视建设积极主动的网络空间安全架构，重点在网络空间安全主动防御体系、网络空间攻击支撑体系、网络空间攻击装备体系三大体系上进行技术与装备的变革和发展。

（1）网络主动防御体系

美军的网络空间安全主动防御体系借助商用技术和能力，将网络空间的威胁预警、入侵防御和安全响应能力相结合，创建跨领域的网络空间态势感知系统，为联邦政府网络基础设施提供安全保障。

由于密级不同，美国的“态势感知体系”的防护范围划分为两部分：联邦政府网络以及军事网络，所以自然地，“态势感知体系”也分为两个子系统：Einstein系统以及TUTELAGE 系统，并分别交由国土安全部的国家网络通信整合中心以及国家安全局（也即网络战司令部）的威胁作战中心进行运行、管理，为了保证两个领域的态势感知能力更加高效，美国国家标准化技术研究院开发了威胁情报交换标准（如STIX、TAXII等），保证了两个领域敏感数据交换的高效、实时。

图9 TUTELAGE项目架构图

（2）网络攻击支撑体系

美国国防部认为，计算机网络对抗(Computer Network Operations, CNO)即实质操纵计算机和网络，针对计算机或其他网络本身或他们它们之上的信息、信息系统，实施攻击和防御以及两者所需的支撑行动。按照网空行动目的，可以将 CNO 划分为计算机网络防御(Computer Network Defense, CND)、计算机网络刺探(Computer Network Exploitation, CNE)和计算机网络攻击(Computer Network Attack, CNA)，分别对应网空积极防御、网空情报行动和网空军事行动。

斯诺登曝光的2009年8 月的绝密文件中也提到了TURBULENCE项目。文件中解释了将主动与被动方法结合起来以达到从目标网络中渗出数据的过程。TURBULENCE 项目包含传感器（Sensors）、基础设施（Infrastructure）及分析（Analysis）三个模块。

图10 湍流项目架构图

（3）网络攻击装备体系

美国自2008年以来实施了多次进攻性网空行动，并且具备相当大的破坏能力，这种进攻性能力不仅来自于完善的后端支撑体系，更来自于强大的网空攻击装备体系。美国的网络攻击装备体系以全平台、全功能为发展目标，并具有模块化特点，使得其能够适应于各种网络环境下的行动作业要求。

通过物流链劫持、运营商劫持、源代码污染等实现战场预制;通过大规模信息采集形成终端、设备、软件、用户身份的信息库，绘制网络地形、寻找关键目标;通过移动介质摆渡攻击、物流链劫持、近场作业等方式突破物理隔离防线;在内网横向移动，建立持久化据点，投递载荷;通过摆渡攻击、开辟侧信道、隐信道等方式实现远程控制，最终实现目标。

漏洞利用网络攻击装备。NSA 具有大量的零日漏洞（从未公开披露的漏洞）储备。2017年4 月14 日，影子经纪人组织曝光了一批NSA 的网空攻击装备与相关漏洞的资料。其中的Fuzzbunch 是针对Windows 操作系统的漏洞利用平台，能够向目标主机植入有效载荷，在植入的过程中可直接内存执行，不需要生成实体文件。平台中还包含数个针对特定类型目标，并且可以直接使用的漏洞，包括“永恒之蓝”（EternalBlue）、“永恒浪漫”（Eternalromance）等。

图11 量子计划中攻击装备

① 突破物理隔离网络攻击装备。为了配合美方军事力量抵近展开秘密行动，也需要能够突破物理隔离并渗透进入对手内网的作业能力，NSA 也开发了一系列着重于突破物理隔离防护机制的工具和技术，“水腹蛇-1”（COTTONMOUTH-1）是其中最具代表性的一个。

图12 水蝮蛇攻击装备

② 命令与控制网络攻击装备。在通常的网络入侵行动中，攻击者需要和已经进入目标网络/系统的恶意代码进行通信，发送指令并获取数据，因此需要使用用于命令与控制的工具，尽可能地以安全、隐蔽的方式实现攻击者与植入恶意代码之间的通信。以NSA、CIA为代表的美方情报部门开发了一系列具有命令与控制能力的攻击平台和武器装备，功能原子化、目标全覆盖，典型代表为DanderSpritz平台，该平台通过正向、反向、激活包三种方式与受害者建立连接，同时，通过分析发现，DS 平台在通讯过程中严格加密，使得安全分析人员即使捕获了载荷样本也很难破解通信内容。

图13 DanderSpritz平台攻击装备

③ 利用无线信号通信网络攻击装备。美国国家安全局（NSA）网络攻击装备的传播、通信、控制除了依赖于目标原有的网络或常规的移动介质之外，还有一类不依赖目标网络，而是利用无线信号实现信息传递，进而绕过多数网络安全防护手段，实现信息窃取或内网渗透的网络攻击装备。

NSA 可用于对离线室内活动（如高密级会议、研讨等）进行信号采集的“愤怒的邻居”（Angry Neighbor） 装备， 能够主动收集视频、音频、无线信号，并转换为特定波段的射频信号，通过隐蔽通信通道回传；

NSA 利用物理隔离网络中Wi-Fi信号（物理隔离网络中常常因为管理不到位而存在违规私接的Wi-Fi 网络）的漏洞进行重定向并入侵的“床头柜”（NIGHTSTAND）装备；

图14  离线信号采集装备

④ 持久化控制网络攻击装备。美国一直秉承“持久化一切可以持久化的节点”的理念，将其作为一种重要的战略资源储备，为长期的信息窃取和日后可能的网络战做准备。

NSA 的相关装备主要由特定入侵行动办公室（TAO）下属的先进网络技术组（ANT） 开发。比较有代表性的装备包括针对Juniper 不同系列防火墙的工具集“ 蛋奶酥槽”（SOUFFLETROUGH） 和“ 给水槽”（FEEDTROUGH）、针对思科Cisco 系列防火墙的“ 喷射犁”（JETPLOW）、针对华为路由器的“水源”（HEADWATER）、针对Dell 服务器的“神明弹跳”（DEITYBOUNCE）、针对桌面和笔记本电脑的“盛怒的僧侣”（IRATEMONK）等。

图15 针对华为防火墙持久化后门攻击装备

（四）网络空间联合攻击

网络空间联合攻击是指网络空间攻击行动对陆海空天等军种提供各种作战支持，这一阶段进行网络对抗作为军事对抗的组成部分，一定程度上可以体现一个国家的综合军事实力。

1、主要特点

2、对抗态势

网络空间联合攻击过程中，攻击方和防守方一般处于军事对抗阶段，网络攻击往往军事指挥机构统一指挥，和其他军种行动密切协同配合，因此联合攻击呈现出很强的军事对抗特征。具体对抗态势如图所示，攻防双方对抗的焦点聚焦于整个军事对抗的的控制权。

图16 网络空间联合攻击对抗态势

3、典型案例

美国、俄罗斯是最早在军事作战行动应用网络攻击的国家，网络攻击取得了一系列令人印象深刻战果，当前网络作战已然成为一种新型军事作战样式。

（1）海湾战争开启网络作战先河

1991年海湾战争中，美国最早将网络攻击引入军事战争，中央情报局通过特工对伊拉克从法国购买的防空系统注入病毒芯片，最终导致伊拉克指挥中心失灵。

第一次海湾战争期间，伊拉克从法国购得一批网络打印机，美国特工得知此事，将一块固化病毒程序的芯片与某打印机中的芯片调了包，并且在空袭发起前，以遥控手段激活了病毒，使得伊拉克防空指挥中心主计算机系统瘫痪，最后伊军只有挨打的份。

（2）“舒特”网电攻击显威力

2007年，为将叙利亚核计划扼杀于萌芽之中，以色列空军第69战斗机中队的18架F-16战机，悄无声息地突破叙利亚在叙以边境部署的先进俄制“道尔”-M1防空系统，对叙以边境以西约100千米、大马士革东北部约400千米的一处核设施实施精确轰炸，并从原路安全返回。

据披露，美军“舒特”攻击系统通过远程无线电入侵，瘫痪雷达、无线电通信系统，使叙防空系统处于失效状态。作为针对组网武器平台及网络化信息系统的新型网电攻击系统，“舒特”代表着军事技术和作战方式的发展趋势，势必将带来全新战争景观。

（3）“震网”网络物理战先驱

2010年8月，伊朗在俄罗斯帮助下建成布什尔核电站，但这座计划于当年10月正式发电运转的核电站，却多次推迟运行。一年后，据媒体揭秘，是因为遭到来源不明的计算机网络病毒攻击，超过3万台电脑“中招”，位于纳坦斯的千台离心机报废，刚封顶的布什尔核电站不得不取出核燃料并延期启动，伊朗核发展计划则被迫搁置。这种后来被冠名为“震网”的病毒，开创了通过网络控制并摧毁实体的先河。

（4）俄格冲突中网络战作用突显

2008年8月俄罗斯对格鲁吉亚发动的网络攻击是第一次与主要常规军事行动同时发生的大规模网络攻击。这些网络攻击削弱了格鲁吉亚人与外界沟通的能力，在信息和心理上对媒体、政府以及公众产生了重大影响。

开战后，俄罗斯对格鲁吉亚的网络攻击迅即全面展开，使得包括媒体、通信和交通运输系统在内的格鲁吉亚官方网站全部瘫痪，直接影响到了格鲁吉亚的战争动员与支援能力。

被称为“美国网络后果单元（US Cyber Consequence Unit）”的私人非营利性组织的一位安全专家将俄罗斯对格鲁吉亚的网络攻击分为两个阶段。

在第一阶段中，俄罗斯黑客发起的攻击类型主要是分布式拒绝服务（DDoS）攻击。俄罗斯的攻击组织利用僵尸网络针对格鲁吉亚政府和媒体网站采取攻击行动。

第二阶段的网络作战力求对更多目标进行破坏，其破坏目标名单上包括金融机构、教育机构、西方媒体以及格鲁吉亚黑客网站。对这些服务器的攻击不仅包括 DDoS 攻击，还包括篡改服务器的网站。此外，一些俄罗斯黑客利用格鲁吉亚政治人物公开可用的电子邮件地址，发起垃圾邮件攻击。

（五）网络空间总体攻击

网络空间总体攻击是针对政治、军事、外交、经济、心理、文化等领域实施全维攻击，这一阶段国家间进入全面对抗阶段，可以体现一个国家综合实力。

1、主要特点

2、对抗态势

网络空间总体攻击过程中，攻击方和防守方一般为国家实体，网络攻击目标覆盖各个行业，攻击结果不仅仅是具体的，往往会产生外溢效应。具体对抗态势如图所示，攻防双方对抗的焦点聚焦于取得国家斗争主动权。

图17 网络空间总体攻击对抗态势

3、典型案例

（1）“邮件门”事件影响美大选走势

在网络黑客涉影响选举的系列事件中，“邮件门”最为舆论关注。在民主党内提名大会召开前夕，全球著名的泄密网站维基揭秘公开了美国民主党高层内部绝密的19252封邮件、8034个附件以及29段音频文件等，大量邮件显示希拉里勾结民主党高层、内定党内候选人以及参与“洗钱”和操控媒体等多项丑闻。美国联邦调查局宣布对“邮件门”的调查，引发舆论哗然，特朗普支持率迅速拉近与希拉里的差距。在距离大选不到一天的11月7日，美国联邦调查局宣布维持7月份调查结论。在整个选举过程中，两位总统候选人借机互揭黑幕。美国政府和主流媒体认为俄罗斯是近期美国总统大选遭黑客攻击的“幕后黑手”，黑客攻击引发的邮件泄密等是为帮助有亲俄政治倾向的特朗普当上总统。

（2）委内瑞拉大规模停电事件

2019年，委内瑞拉发生全国范围的大规模停电，首都加拉加斯以及其他大部分地区陷入黑暗中，全国18个州电力供应中断，仅有5个州幸免，此次突发的电力系统崩溃没有任何预兆。停电给委内瑞拉带来了重大损失，全国交通瘫痪，地铁系统关闭，医院手术中断，所有通讯线路中断，航班无法正常起降。委内瑞拉官方为代表的观点，认为本次事故是由于委内瑞拉最大的古里水电站受到反对派和美国网络攻击导致机组停机所致。

美国多次与哥伦比亚和委反对派合作，从国际互联网上对委内瑞拉使用类似的网络病毒武器，导致该国发电设施和供电设施停转。