[[196626]]

第一章 安全隔離網(wǎng)絡(luò)高級威脅攻擊簡介

維基解密于2017年6月22日解密了美國中央情報局(CIA)穹頂7（Vault7）網(wǎng)絡(luò)武器庫中的第十二批檔案，分別是“野蠻袋鼠（Brutal Kangaroo）”和“激情猿猴（Emotional Simian）”項目，被披露的檔案中詳細描述了美國情報機構(gòu)如何遠程隱蔽地入侵訪問封閉的計算機網(wǎng)絡(luò)或獨立的安全隔離網(wǎng)絡(luò)（Air-Gapped Devices，從未連接過互聯(lián)網(wǎng)的設(shè)備）。

一般金融機構(gòu)、軍事機構(gòu)、核設(shè)施和能源基礎(chǔ)行業(yè)等都會使用無法訪問互聯(lián)網(wǎng)的封閉網(wǎng)絡(luò)以保護重要數(shù)字資產(chǎn)，重要數(shù)字資產(chǎn)處在隔離網(wǎng)絡(luò)中，黑客無法直接攻擊這些目標，傳統(tǒng)的黑客滲透攻擊手段都會失效。但隔離網(wǎng)絡(luò)并不代表著絕對安全，它只能隔離計算機數(shù)字資產(chǎn)的網(wǎng)絡(luò)訪問，無法阻斷物理介質(zhì)傳輸數(shù)據(jù)和物理設(shè)備的接入，比如U盤、光盤等物理數(shù)據(jù)存儲介質(zhì)，鍵盤、鼠標等硬件設(shè)備，非安全的硬件設(shè)備和數(shù)據(jù)傳輸介質(zhì)進入隔離網(wǎng)絡(luò)，極有可能成為黑客滲透入侵隔離網(wǎng)絡(luò)的橋梁。

第二章 “震網(wǎng)三代”隔離網(wǎng)攻擊流程簡介

2010年6月，“震網(wǎng)”病毒首次被發(fā)現(xiàn)，它被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，使用了4個Windows 0day漏洞用于攻擊伊朗的封閉網(wǎng)絡(luò)中的核設(shè)施工控設(shè)備，我們定義它為“震網(wǎng)一代”。時隔兩年，2012年5月，“火焰”病毒利用了和“震網(wǎng)一代”相同的Windows 漏洞作為網(wǎng)絡(luò)武器攻擊了多個國家，在一代的基礎(chǔ)上新增了更多的高級威脅攻擊技術(shù)和0day漏洞，我們定義它為“震網(wǎng)二代”。此次披露的CIA網(wǎng)絡(luò)武器資料表明，其攻擊封閉網(wǎng)絡(luò)的方式和前兩代“震網(wǎng)”病毒的攻擊方式相似，并使用了新的未知攻擊技術(shù)，我們定義它為“震網(wǎng)三代”。下面會著重分析其對安全隔離網(wǎng)絡(luò)的攻擊手段，以供業(yè)界參考發(fā)現(xiàn)和防護此類高級威脅攻擊。

此次披露的CIA網(wǎng)絡(luò)武器主要針對微軟Windows操作系統(tǒng)進行攻擊，通過USB存儲介質(zhì)對安全隔離網(wǎng)絡(luò)進行滲透攻擊和竊取數(shù)據(jù)：

1. 首先，它會攻擊與目標相關(guān)聯(lián)的可以連接互聯(lián)網(wǎng)的計算機，在計算機中植入惡意感染程序。

2. 然后，凡是接入被感染計算機的USB存儲設(shè)備（如：U盤)，都會被再次植入惡意程序，整個U盤將會變成一個數(shù)據(jù)中轉(zhuǎn)站，同時也是一個新的感染源。

3. 接下來，如果這個被感染的U盤在封閉網(wǎng)絡(luò)中被用于拷貝數(shù)據(jù)的話，U盤就會感染封閉網(wǎng)絡(luò)中的計算機，同時偷竊計算機中的數(shù)據(jù)并秘密保存在U盤中。

4. 最后，被感染的U盤一旦被帶出隔離網(wǎng)絡(luò)，連接到可以聯(lián)網(wǎng)的計算機時，竊取的數(shù)據(jù)就會被傳送回CIA。

更可怕的是，多臺封閉網(wǎng)絡(luò)中被感染的計算機彼此間會形成一個隱蔽的網(wǎng)絡(luò)，用于數(shù)據(jù)交換和任務(wù)協(xié)作，并在封閉網(wǎng)絡(luò)中持續(xù)潛伏攻擊。

震網(wǎng)三代攻擊演示視頻：http://weibo.com/tv/v/F90MPyYOH 

第三章 “震網(wǎng)三代”隔離網(wǎng)攻擊方式分析

攻擊安全隔離網(wǎng)絡(luò)的關(guān)鍵技術(shù)是針對USB存儲設(shè)備的感染技術(shù)，在“震網(wǎng)一代”病毒中該技術(shù)使用的是Windows快捷方式文件解析漏洞（CVE-2010-2568/MS10-046），這個漏洞利用了Windows在解析快捷方式文件（例如.lnk文件）時的系統(tǒng)機制缺陷，可以使系統(tǒng)自動加載攻擊者指定的DLL文件，執(zhí)行其中的惡意代碼。該漏洞的利用效果穩(wěn)定且隱蔽，具有非常強大的感染能力，將利用了漏洞的快捷方式文件置于USB存儲設(shè)備（如U盤）中，無需任何用戶交互，受害者只要打開設(shè)備就會被自動攻擊控制電腦。

“震網(wǎng)二代”病毒使用了一種新的攻擊隱蔽技術(shù)，參考下圖中賽門鐵克報告中的分析，攻擊會使用一個文件夾，文件夾中放有desktop.ini、target.lnk和mssecmgr.ocx三個文件。

“震網(wǎng)二代”病毒在desktop.ini文件中通過shellclassinfo字段設(shè)置classid，會將文件夾重定向到一個Junction文件夾，Junction是Windows（NTFS）特有的一種鏈接方式，和軟鏈接類似，但Junction只針對文件夾，下面會再詳細分析。受害者打開文件夾會觸發(fā)target.lnk漏洞攻擊執(zhí)行惡意代碼，同時還能夠隱藏保護文件夾中的惡意文件和lnk漏洞文件。

維基解密曝光的CIA網(wǎng)絡(luò)武器檔案中描述了三種未知的Windows快捷方式文件漏洞攻擊方法和一些漏洞攻擊隱蔽技術(shù)，這三種未知的攻擊分別是：Giraffe Links（長頸鹿快捷文件）、Lachesis LinkFiles (拉克西斯快捷文件)和Riverjack（杰克河快捷方式文件）， 疑似為微軟于2017年6月13日公告修復(fù)的新的快捷方式文件解析漏洞 CVE-2017-8464。下面我們先來介紹這三種安全隔離網(wǎng)絡(luò)的攻擊方式：

1. Giraffe Links（長頸鹿快捷文件攻擊），該攻擊特點是只要桌面進程顯示了快捷方式文件就會自動加載dll執(zhí)行惡意代碼，可以成功攻擊除開Windows XP系統(tǒng)以外的所有windows系統(tǒng)。這個攻擊場景包含了所有的快捷方式場景，也就是無論是在U盤中的快捷方式文件還是系統(tǒng)中的快捷方式文件，只要電腦顯示了快捷方式，就會被攻擊。

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

2. Lachesis LinkFiles (拉克西斯快捷文件攻擊，“Lachesis”源自希臘神話中命運三女神之一)，該攻擊特點需要autorun.inf文件配合快捷方式文件，在U盤設(shè)備插入計算機系統(tǒng)時加載autorun.inf文件，然后自動加載dll執(zhí)行惡意代碼。這個攻擊場景只限于U盤等USB存儲設(shè)備插入電腦時，而且只能攻擊Windows 7系統(tǒng)。

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

3. Riverjack（杰克河快捷方式文件，“Riverjack“美國北卡羅來納州一個地名），該攻擊的特點是使用了Windows文件資源管理器的“庫”功能進行隱蔽攻擊，不需要顯示快捷方式文件且可以隱藏快捷方式文件，可以攻擊Windows 7,8,8.1系統(tǒng)，從技術(shù)角度分析由于Windows文件資源管理器的“庫”功能只支持Windows 7及其以上的操作系統(tǒng)，所以這個功能和漏洞無關(guān)，是一個擴展的攻擊隱蔽技術(shù)或漏洞利用保護技術(shù)。

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

下面我們來著重分析下Riverjack（杰克河快捷方式文件）攻擊方式，根據(jù)CIA檔案我們發(fā)現(xiàn)該攻擊隱蔽技術(shù)的細節(jié)，該攻擊方式分為四個部分：快捷方式文件夾、Junction文件夾、“庫”文件和快捷方式文件，前面三部分是攻擊隱蔽技術(shù)，用正常的系統(tǒng)特性隱藏快捷方式文件的漏洞攻擊，四個部分結(jié)合起來就成為了更難以被發(fā)現(xiàn)的高級威脅攻擊，可以在被攻擊系統(tǒng)中長期潛伏。

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

首先，給將普通文件夾改名成設(shè)定成指定類型的classid，如<MyFolder>.<CLSID>，

它將會變成一個Junction Foldersrs。 

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

假設(shè)給文件夾設(shè)置一個不存在的classid名24138469-5DDA-479D-A150-3695B9365DC0}

[[196627]]

圖 “野蠻袋鼠（Brutal Kangaroo）”文檔片段

打開這個文件夾后，桌面進程會查詢這個不存在的classid注冊表鍵。

然后，如果直接設(shè)置這個注冊表鍵值指向一個固定位置的dll文件，那么打開這個文件夾后會關(guān)聯(lián)verclsid.exe 加載這個dll執(zhí)行代碼。

同時，如果在用戶啟動目錄中加入這個Junction文件夾，在電腦重啟時也會觸發(fā)加載這個dll文件執(zhí)行代碼。

接下來，CIA檔案中還介紹了利用Windows Libray（庫）文件的攻擊隱藏技術(shù)，它是在Windows7及其以上系統(tǒng)中資源管理器一種新的快捷方式特性，它的本質(zhì)是一個xml配置文件，可以支持指向上文分析的Junction文件夾，在xml文件中指定foldertype和knownfolder字段就可以構(gòu)造惡意的”庫”快捷方式。

最后，我們會發(fā)現(xiàn)野蠻袋鼠項目與震網(wǎng)一、二代病毒相比，利用系統(tǒng)特性更新了一些新的攻擊技術(shù)，但仍然是以windows快捷方式文件解析漏洞為核心。在“震網(wǎng)一代“病毒中使用的核心漏洞是windows快捷方式文件解析漏洞（CVE-2010-2568/MS10-046），時隔5年后，安全研究員Michael Heerklotz繞過該漏洞補丁中的安全限制，發(fā)現(xiàn)了第二個windows快捷方式文件解析漏洞（CVE-2015-0096/MS15-020 ），此漏洞的技術(shù)細節(jié)一經(jīng)披露就被黑客瘋狂利用。近日，微軟于2017年6月13日公告修復(fù)了第三個快捷方式文件解析漏洞 CVE-2017-8464，但在6月13日的安全公告中并沒有標明任何漏洞來源，也沒有發(fā)現(xiàn)黑客在野外利用該漏洞。

奇怪的是在一周后維基解密曝光了CIA的網(wǎng)絡(luò)武器“野蠻袋鼠（Brutal Kangaroo）”和“激情猿猴（Emotional Simian），根據(jù)上文我們的技術(shù)分析，再結(jié)合該項目檔案中的項目開發(fā)時間節(jié)點，我們推測該項目利用的核心漏洞就是最新的CVE-2017-8464。

第四章 “沖擊鉆”攻擊技術(shù)簡介

維基解密的創(chuàng)始人阿桑奇于2017年3月9日左右發(fā)布一段2分鐘的視頻專門解釋了一個入侵安全隔離網(wǎng)的網(wǎng)絡(luò)武器“沖擊鉆（HammerDrill）”，并在3月19日在維基解密網(wǎng)站公布了該項目詳細開發(fā)文檔。

[[196628]]

“沖擊鉆（HammerDrill）”是通過劫持Windows系統(tǒng)上的光盤刻錄軟件，感染光盤這類數(shù)據(jù)傳輸介質(zhì)的方式，以達到入侵隔離網(wǎng)絡(luò)目的。在該項目的開發(fā)文檔中詳細介紹了感染光盤的步驟，下面我們來簡要分析解讀下：

1. 沖擊鉆會啟動一個線程通過wmi接口來監(jiān)控系統(tǒng)進程。

2. 如果在進程列表中發(fā)現(xiàn)NERO.EXE, NEROEXPRESS.EXE and NEROSTARTSMART.EXE三個進程名，就會往進程中注入一個惡意的dll文件,并劫持進程的讀文件操作。

3. 如果發(fā)現(xiàn)光盤刻錄軟件讀入了PE可執(zhí)行文件，就篡改文件注入shellcode惡意代碼。

最終，光盤刻錄軟件讀取編輯的PE可執(zhí)行文件都會被感染，這個光盤將成為一個惡意感染源，如果光盤被接入隔離網(wǎng)絡(luò)使用，計算機操作人員不慎運行或安裝了其中的軟件，黑客也就成功滲透了隔離網(wǎng)絡(luò)。由于資料只披露了HammerDrill2.0的開發(fā)筆記，沒有利用高級的安全漏洞技術(shù)，但在技術(shù)上推測實際上可以作為“震網(wǎng)三代”的一個輔助攻擊組件，配合震網(wǎng)三代感染光盤等軟數(shù)據(jù)存儲介質(zhì)。

第五章 “BadUSB”攻擊技術(shù)簡介

在維基解密披露的CIA知識庫文檔中還介紹了“BadUSB”技術(shù)，實際上這是近年計算機安全領(lǐng)域最熱門的攻擊技術(shù)之一，黑客已經(jīng)廣泛利用了該技術(shù)。“BadUSB”主要是利用惡意的HID（Human InterfaceDevice，是計算機直接與人交互的設(shè)備，例如鍵盤、鼠標等）設(shè)備和無線網(wǎng)卡設(shè)備進行攻擊，而與正常的普通的HID設(shè)備不同，這類設(shè)備被黑客定制小型化，外形和一個U盤沒有任何差別。

類似的HID設(shè)備一旦插入電腦就會被模擬成鍵盤自動輸入惡意代碼運行，而NSA（美國國家安全局）的另外一個強大的無線間諜工具水蝮蛇一號（COTTONMOUTH-I），也是看起來像一個普通U盤，但實際上是一個惡意的小型電腦，在被披露的文檔中介紹了它可以創(chuàng)建一個無線橋接網(wǎng)絡(luò)接入到目標網(wǎng)絡(luò)中，然后通過這個無線網(wǎng)絡(luò)控制目標電腦。

所以，黑客仍然有可能通過惡意的USB設(shè)備入侵滲透隔離網(wǎng)絡(luò),但這類攻擊并不具備震網(wǎng)三代病毒那樣強大的自動感染傳播能力。

第六章 安全隔離網(wǎng)絡(luò)高級威脅攻擊防御建議

防范震網(wǎng)三代（CVE-2017-8464），廣大用戶和企事業(yè)單位應(yīng)及時安裝微軟6月補丁修復(fù)漏洞。360安全衛(wèi)士及天擎等產(chǎn)品也已針對震網(wǎng)三代的漏洞利用特征更新了防護規(guī)則，能夠精準攔截和查殺震網(wǎng)三代攻擊樣本。

同時，在隔離網(wǎng)絡(luò)中的計算機操作人員仍然需要提高安全意識，注意到封閉的隔離網(wǎng)絡(luò)并不意味著絕對安全，對于高安全級別的隔離網(wǎng)絡(luò)除了要修復(fù)系統(tǒng)和軟件的安全漏洞，還要隔絕一切不被信任的外部數(shù)據(jù)存儲介質(zhì)和硬件設(shè)備。

第七章 參考

https://wikileaks.org/vault7/document/Emotional_Simian-v2_3-User_Guide/Emotional_Simian-v2_3-User_Guide.pdf 

https://wikileaks.org/vault7/document/Brutal_Kangaroo-DriftingDeadline-V1_2-User_Guide/Brutal_Kangaroo-DriftingDeadline-V1_2-User_Guide.pdf 

https://wikileaks.org/ciav7p1/cms/page_13763373.html 

https://wikileaks.org/ciav7p1/cms/page_13763381.html 

https://wikileaks.org/ciav7p1/cms/page_17072186.html 

https://wikileaks.org/ciav7p1/cms/page_17072172.html 

https://wikileaks.org/ciav7p1/cms/page_20873532.html 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464 

https://www.symantec.com/connect/blogs/w32flamer-spreading-mechanism-tricks-and-exploits 

https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/kaspersky-lab-gauss.pdf 

360追日團隊（Helios Team）

360 追日團隊（Helios Team）是360公司高級威脅研究團隊，從事APT攻擊發(fā)現(xiàn)與追蹤、互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)、黑客產(chǎn)業(yè)鏈挖掘和研究等工作。團隊成立于2014年12月，通過整合360公司海量安全大數(shù)據(jù)，實現(xiàn)了威脅情報快速關(guān)聯(lián)溯源，獨家首次發(fā)現(xiàn)并追蹤了三十余個APT組織及黑客團伙，大大拓寬了國內(nèi)關(guān)于黑客產(chǎn)業(yè)的研究視野，填補了國內(nèi)APT研究的空白，并為大量企業(yè)和政府機構(gòu)提供安全威脅評估及解決方案輸出。

已公開APT相關(guān)研究成果