携手应对恶意代码，为“构建网络空间命运共同体”提供安全支撑

◎浙江省公安厅网安总队总工程师 蔡林

自上世纪80年代第一个计算机病毒问世以来，人类与恶意代码的抗争已达30余年，且呈现出愈演愈烈的趋势。恶意代码由最初的黑客炫技、恶作剧，不断发展成为现今政治干涉、经济窃密、军事侦察等各领域的重要工具，表现出的破坏力愈发难以控制。2017年初，美国安全公司FireEye发布报告称，拥有俄罗斯政府或军方背景的黑客组织APT28和APT29，采用系列工具入侵美国，窃取情报并干扰美国大选。而2017年最大的网络安全事件来源于一款名为WannaCry的勒索软件，被称来自美国网络武器库，其入侵了世界范围内的数十万台计算机并加密其中的文件，给各行各业造成了巨大的影响。恶意代码正在涉足人类社会的经济领域和政治领域，并逐渐成为目标涵盖物理介质到意识形态领域的全方位战略武器，其影响之深远令人堪忧，成为“构建网络空间命运共同体”的最直接威胁。“打铁还要自身硬”，作为“构建网络空间命运共同体”的倡导者和世界互联网大会的东道主，认清当前网络安全威胁的最新特征，梳理其背后的黑客组织，有针对性地从技术、管理、法规等各方面，改进提升对恶意代码的防范与响应，是以实际行动维护网络空间和平发展，让网络空间成为13亿多中国人民乃至世界人民福祉的最扎实行动。

一、当前安全威胁的特征

2017年是恶意代码肆意蔓延的一年，从APT28和APT29，到影响了全世界的勒索软件WannaCry，再到Petya，每一次重大恶意代码安全事件都在影响着全球的政治、经济、军事等各个领域。恶意代码已经成为了影响意识形态的网络武器，当前网络空间安全形势严峻，安全威胁呈现许多新的特征。

（一）影响范围广

2017年5月12日，一款勒索比特币的病毒软件WannaCry在全球范围内爆发，而这种病毒软件使用的是美国国家安全局NSA发布的Windows危险漏洞“永恒之蓝”。这款勒索软件可以说是近年来影响最大的病毒软件，至少150个国家、30万名用户中招，造成的损失超过了80亿美元，影响到了金融、能源、医疗等众多行业，中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计文档被锁定加密。部分大型企业的应用系统和数据库文件被加密，导致职员无法正常工作，影响巨大。

据调查，勒索者源头来自于暗网，其攻击方法具备广域性、兼容性和多语言支持，各个领域各个行业都遭受影响，例如政府、银行、机场、车站、邮政、医院等部门的前端业务终端、后台数据库系统等都可能遭受攻击，甚至一些国安、公安系统都遭到入侵威胁。勒索软件利用美国国家安全局黑客武器库泄露的Eternal Blue（永恒之蓝）发起病毒攻击。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中Eternal Blue模块是SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，实现远程命令执行。 蠕虫软件正是利用 SMB服务器漏洞，通过2008 R2渗透到未打补丁的Windows XP版本计算机中，实现大规模迅速传播。一旦局域网中一台计算机受攻击，蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。在国内，由于校园网没有关闭445端口的特殊情况，大量学生电脑遭到攻击，而很多学生负担不起高额的勒索费用，导致大量校园网用户的文件资料失效。

（二）网络攻击的门槛和成本降低

恶意代码开源，或利用开源代码（包括漏洞的shellcode、POC、EXP等）快速构建恶意代码将在未来层出不断。现在在黑市和线上论坛中，任何人都可以下载和利用工具从任何地方发起攻击。甚至个人信息、用户凭证等均可以在暗网的黑产链中轻易获取。

暗影经纪人（Shadow Brokers）是在黑客军火商中，“商业模式”最为出众的一个。他们经常贩卖高级的攻击武器，当然也包括重要的世界军政信息。暗影经纪人有能力让他的客户像依赖毒品一样依赖自己。因为他们往往会在竞争对手之间贩卖武器，就像瑞典在二战时期所做的那样。所有客户在发现对手也掌握了和自己一样的攻击能力之后，都会成为暗影经纪人的回头客，向他们订购更新的装备。

去年，暗影经纪人突然在Tunblr、Github 上挂出一些 NSA 的内部资料和“方程组”使用的攻击工具，这些足以给世界巨大的震撼。因为这些数据看起来非常像是 NSA 的内部数据；而这些攻击工具代码之精巧，招数之奇幻，让人不得不相信这些数据正是来自世界上最先进的黑客组织——“方程组”，而前文提到的“永恒之蓝”便出自其中。

（三）智能时代针对基础设施的攻击更加广泛

物联网正在取代手机作为网络安全新兴的关注领域，越来越多的网络攻击，尤其是apt攻击将攻击目标指向关键基础设施。

《纽约时报》和彭博7月份透露,联邦调查局和国土安全部发布了一份联合报告称：美国的制造工厂、核电站和其他能源设施正遭受网络攻击的威胁。此次袭击至少攻击了美国十几家电力公司, 包括在堪萨斯州的 Wolf Creek核设施。美国能源部表示, 它正在与受影响的公司合作, 并指出似乎只有行政和商业网络受到影响, 控制能源基础设施的系统并未受影响。

此次攻击者向企业的工程师发送恶意电子邮件, 目的是获取用户凭证，并获取网络访问权限。FireEye的关键基础设施的首席分析师Sean McBride也发表了相应观点。黑客用了“水坑”和中间人 (MitM) 攻击，而这次攻击行动同时还针对了世界其他地区的政府网站的用户, 某些被感染的文件与能源部门并没有明显的联系。思科Talos的研究人员一直在监控这些攻击, 并分析了黑客使用的一些恶意的 word 文档，他们则注意到这次针对世界各地关键基础设施公司的攻击主要目标似乎还是美国和欧洲。Claroty 的创始人Galina Antova则相信这次攻击的主要目的是窃取关键基础设施的信息，并为进一步获取其控制系统的访问权准备。

“模板注入”并非很新的攻击技术，而这次能做欧美基础设施企业攻击得手，也说明目前关键基础设施企业和机构的安全防护工作并非想象中的安全。

（四）网络攻击对政治等领域影响重大

浙江省网络普及率达65.6%，居全国第五；全省接入商接入网站166.4万家，排名全国第一。世界互联网大会落户浙江乌镇，以实际行动维护网络空间和平发展。图为浙江乌镇国际会展中心。

恶意代码正在涉足人类社会的经济领域和政治领域，并逐渐成为目标涵盖物理介质到意识形态领域的全方位战略武器，其影响之深远令人堪忧。

卡塔尔通讯社网站及社交媒体帐号当地时间5月24日凌晨遭遇黑客攻击，卡塔尔埃米尔（国家元首）塔米姆的社交媒体帐号也被黑客攻击。卡塔尔通讯社旗下网站深夜播发了据称是塔米姆在出席卡塔尔军校第8批毕业生典礼时的讲话。

黑客通过卡塔尔通讯社网站和塔米姆的社交媒体帐号发布了与卡塔尔外交政策相悖的言论，称卡塔尔支持伊朗和巴勒斯坦伊斯兰抵抗运动“哈马斯”，以及卡塔尔同以色列关系密切，并批评了美国在卡塔尔的军事存在，不满重新与伊朗加深对抗等。卡塔尔通讯社社交媒体帐号还发文说，卡塔尔外交部要求将卡塔尔驻沙特、阿联酋、科威特、巴林等国大使召回国内，并同时驱逐这些国家驻卡塔尔的大使。

以上表态一出，立即被大量海湾阿拉伯国家媒体转载，并引起部分国家的强烈反应。25日，卡塔尔外交大臣穆罕默德在同索马里外长共同会见记者时表示，针对卡塔尔通讯社网站的黑客攻击是犯罪行为，将受到法律惩罚，目前尚未查清攻击具体来自何处，有关此次黑客事件的调查正在进行。

但一切为时已晚，早已经对卡塔尔当权政府诸多行径不满的以沙特为首的周边海湾兄弟国家，以此为由，相继宣布与其断交，为中东局势添加了新的不稳定因素。

二、重大安全事件的背后组织

除了一些仍然不能确定来源的恶意代码，本年度APT攻击（高级持续性威胁，Advanced Persistent Threat）主要的来源是几大著名恶意代码组织，其中影响最大的包括以下几个：

（一）APT28

近年来APT28组织卷土重来，其代表性两大家族为Sofacy和Turla，Sofacy和Turla与APT28和APT29之间有着密切的关联，自从去年美国大选被强烈关注之后，这两个恶意家族依然活跃。今年3月份爆发之后，又分别利用了3个0DAY漏洞，前两个是Microsoft Office的封装 PostScript（EPS）（CVE-2017-0262，CVE-2017-0261）， 第 三个 是Microsoft Windows本地特权升级（LPE）（CVE-2017-0263）。其搭配的攻击载荷分别为Gamefish和Shirime。当然，Sofacy也在不断改变攻击策略，第一项技术是在Microsoft Windows中使用内置的“certutil”实用程序来提取宏中的硬编码有效载荷。第二种技术是将Base64编码的有效载荷嵌入到恶意文档的EXIF元数据中。

（二）方程式组织

方程式的攻击代码以其复杂代码模块和精密的配合方式而让人惊叹，其使用的Gray Lambert网络渗透工具，能够通过广播，多播和单播命令在网络上协调多个嗅探器，从而允许攻击者在大量受感染机器的网络中进行外科手术式的精确操作。目前发现Lambert的两个家族：Red Lambert和Brown Lambert，受害者主要集中在亚洲和中东地区。

（三）BlueNoroff

该组织的主要目标是银行金融系统、ATM机和其他类型的虚拟货币，4月份新推出了一个恶意软件Manuscrypt，其主要目标是韩国外交系统及使用虚拟货币和电子支付网站的用户。最近，“Manuscrypt”已经成为BlueNoroff小组以金融机构为目标的主要后门。

（四）BlackOasis

APT在中东地区同样造成重大影 响，继 CVE-2016-4117、CVE-2016-0984、CVE-2015-5119之后，BlackOasis进而又转向了CVE-2017-0199。据悉，为了有效进行攻击，该组织还利用了合法的监视套件FinSpy。除BlackOasis以外，另一个名为“OilRig”的APT组织针对以色列的许多组织也发起了攻击，带来了不小的忧虑和恐慌。

三、对恶意代码的防范与响应

（一）恶意代码追踪溯源

全球的许多著名恶意代码都来源于一些著名的黑客组织，对恶意代码进行同源性分析能对恶意代码进行追本溯源，分析攻击来源并进行反击。但是恶意代码的同源性分析目前仍然是一个国际性难题。

以美国大选中曝光的恶意软件为例，将其与乌克兰电网事件的恶意软件进行同源性分析。乌克兰停电事件在2016年初引发了全球范围内关于网络基础设施安全的大讨论；美国大选中DNC遭受网络攻击的APT28事件则一定程度上改变了当今世界最先进国家的政治进程；这两次事件都指向俄罗斯的黑客组织，但是至今为止，各方都没有拿出铁证来证明攻击来自俄罗斯。将乌克兰停电事件涉及的BlackEnergy和攻击美国民主党全国选举委员会的Delphocy进行比较之后可以发现，两个恶意软件中某个重要的用户函数的代码结构非常相似，而在这段代码中实现功能的代码段也极其相似。

此外恶意代码利用Tor进行传输将成为常态主流，通过网络行为分析将更加难以追踪、溯源和阻断。因此，研究Tor或新的有效检测方法也十分必要。

（二）恶意代码家族的研究意义重大

恶意代码开源，或利用开源代码（包括漏洞的shellcode、POC、EXP等）快速构建恶意代码将在未来层出不断，现有信息基础设施将面临越来越大的运维和应急响应压力。

追踪WannaCry和Petya的来源是一个国际性难题，目前为止，没有人能够找到WannaCry、Petya与其他恶意软件之间的重要代码共享。当然，也有诸多尝试，有研究声称朝鲜需对WannaCry负责，也有研究表示Petya所使用的扩展名列表非常类似于BlackEnergy 的 KillDisk 勒索。有研究发现Petya和Killdisk的加密组件有相似之处，同是出于TeleBots 所为。而TeleBots 在攻击的最后阶段总是使用KillDisk 恶意软件来覆盖受害者磁盘上具有特定文件扩展名的文件。

来自相同的组织或基于同一段开源代码开发的恶意软件，通常在行为等方面有着一定的相似性，将相似的恶意软件归并为同一家族，并提取恶意软件家族的基因，对恶意软件的检测和追踪溯源有着重要的意义。因此，基于恶意代码家族基因检测来构建新型快速的恶意软件发现和应急响应机制十分必要。

（三）安全防护机制亟待升级

杀软、防火墙、入侵检测等传统的安全防护设备，本质上都是“事后响应”，防护能力在层出不穷的网络安全威胁面前将逐渐弱化，且呈加速下降趋势；因此，研究新型安全防护产品和机制十分必要；网络安全问题遍布全球，毫无征兆，它不仅仅是某个国家的问题，更是全世界面临的国际性问题。各国各地区的相关政策法规有所不同，处理网络安全犯罪的方法也有所区别，建立有效的国际协作机制是有效追踪和处置网络空间犯罪的当务之急。同时，由于大多数国家对网络安全犯罪的响应能力还处于比较低的水平，安全防范能力还未得到有效保证，网络犯罪比现实社会犯罪代价更低而越发猖獗，因此，先进而系统性的网络安全技术是最终完善和保证网络用户信息安全的重要保证。

由此可知，国际协作机制的完善和先进防范能力的构建是有效阻止网络空间安全问题的两把金钥匙，需要得到全球各国政府和全体网络用户的共同重视。

四、结束语

恶意代码产生的30余年来，由原来的黑客炫技、恶作剧，进而发展成为经济犯罪、干涉政治的工具。而现在，网络攻击的门槛和成本正在降低，现在在黑市和线上论坛中，任何人都可以下载和利用工具从任何地方发起攻击。甚至个人信息、用户凭证等均可以在暗网的黑产链中轻易获取。处置网络犯罪的国际协作尚未完善建立，但网络犯罪分子间的组织化和国际合作却“方兴未艾”。黑客们在“暗网”中“振臂一呼”就会圈粉无数，网络的便捷性，正被犯罪分子充分利用。而得到政府和军方支持的黑客组织也在世界各国活跃着。这一切成为“构建网络空间命运共同体”最直接的威胁。除此之外，由于网络恐怖主义危害性大，已经成为全球网络空间和平发展的最大威胁，“构建网络空间命运共同体”成为世界各国尤为紧迫的需求。为此，有必要协同各国及各类国际组织，共享恶意代码来源信息，提升对恶意代码响应的及时性，并携手进行针对性反击。这应该成为国际社会“构建网络空间命运共同体”的重要一环。