黑客24小时在线接单网站

               
• 网络空间攻击形势发生了三个深刻的变化：从少数黑客到国家力量有组织的集体行动，从单一的简单目标到关键基础设施和复杂的系统组织目标，从网络空间的独立行动到陆地、海洋和天空网络的联合行动。
               
• 网络空间攻击威胁可分为五类：网络空间单点攻击、系统攻击、系统攻击、联合攻击和整体攻击，目标、手段、特征、威胁程度等维度不同。

通过梳理网络攻击案例，总结整理了当前五大网络空间攻击威胁，并提出了相关的应对策略，以便在未来的网络空间攻击和防御对抗中采取主动。本文的上半部分主要分析了五个网络空间攻击威胁。

一、五大网络空间攻击威胁概述

网络空间攻击的趋势发生了深刻的变化。如今，网络攻击不仅是黑客的个人行为，也是越来越多的国家力量参与网络攻击的行动。网络空间产业已成为大国政治角力的新战场。

通过分析梳理网络攻击案例，可以将网络空间攻击威胁归纳为五类——网络空间单点攻击、系统攻击、系统攻击、联合攻击和整体攻击。（如图1所示）五个网络攻击威胁在攻击目标、攻击手段、攻击特征、威胁程度等方面都有所不同。

图1 网络空间五大攻击威胁

(1)网络空间单点攻击

网络空间单点攻击是一种对抗强度较低的攻击形式。攻击目标集中在单一目标或简单系统上，攻击者由个人或小团队组成，攻击装备主要由漏洞装备和控制装备组成，攻击结果往往反映在获取重要信息或数据上。

1. 主要特点

               
• 人数少：一般由个人或小规模团队组成。
               
• 目标规模小:一般针对个人账号(邮箱账号、论坛账号)、主机终端(windows终端、Linux终端、MAC终端)移动终端(Android、iPhone)、应用服务器(web攻击服务器、邮件服务器、网络设备(路由器、防火墙、安全设备)等有限目标。
               
• 装备性能一般：一般以公开漏洞或开源渗透工具为主要实施作战。
               
• 攻击协同不多：攻击者一般全程参与攻击全过程，配合较少。
               
• 支持资源有限：一般通过虚拟专用网络、邮箱、DNS等资源开展行动。
               
• 单一作战目标：主要目的是获取网络目标信息。

2. 对抗态势

在单点攻击网络空间的过程中，攻击者主要由少数人组成，使用突破工具和控制工具通过目标探测、漏洞攻击、远程控制、安全绕过等、漏洞攻击、远程控制、安全绕过等。

防御方由系统制造商、设备制造商和应用程序制造商保护目标资产和安全制造商的外部安全。具体行动包括修复漏洞、安全加固、病毒检查等。

攻防对抗的重点是突破与反突破、控制与反控制的具体目标。具体对抗情况如图2所示。

图2

3. 典型案例

由于实施条件要求低，攻击过程相对简单，网络空间单点攻击是绝大多数APT组织常用的攻击风格。攻击者通常通过社会工程学或已知的远程漏洞攻击获得目标控制，以获得敏感信息。

(1) RSA SecurID窃取攻击

EMC公司下属的RSA该公司被入侵，黑客通过钓鱼邮件获取了该公司的部分技术内容和客户信息。

攻击流程：

               
• 攻击者给RSA的母公司EMC四名员工发送了两组恶意邮件，邮件附件是”2011 Recruitment Plan.xls“的文件。
               
• 其中一名员工将其从垃圾邮件中取出阅读，当时是Adobe Flash的0day漏洞(CVE-2011-0609)命中。
               
• 员工的电脑被植入木马，从僵尸网络开始(BotNet)的C&C执行服务器下载指令。
               
• 第一批受害者不是高地位的人，然后IT与非IT服务器管理员相继被黑。
               
• RSA发现开发服务器被入侵，攻击者立即撤回并加密所有数据FTP将其传回远程主机，完成入侵。

(2) 针对马拉维(Malawi)国民银行网络攻击

在这一系列攻击中，马拉维国民银行的四家地方分行成为攻击者的重要目标，其中大南部(southend)官方客户服务邮箱已被攻击者窃取。攻击者使用从中国人民银行部分地区分行窃取的官方邮箱密码，向其他分行工作人员发送带有恶意文件附件的电子邮件作为附件CVE-2014-6352攻击漏洞。这个漏洞可以绕过。“沙虫”漏洞(SandWorm)补丁MS14-060安全保护。漏洞利用成功后，样本将被命名为“Target.scr”该程序由攻击者根据开源代码修改编译，攻击者重写main函数代码，程序运行时不会调用开源代码的原始功能函数，而是内存启动内嵌执行DarkComet远程控制木马，然后攻击目标系统。

图3

从以上案例可以看出，攻击主要利用漏洞、远程控制等主要攻击武器，针对终端，WEB控制目标控制权后，服务器等攻击面获取相关信息。

(二)网络空间系统攻击

网络空间系统攻击是针对大型机构或组织的复杂网络的高度攻击形式。其攻击结果体现在对大型机构复杂网络系统的长期隐蔽控制、获取重要信息和致瘫核心业务。

1. 主要特点

               
• 攻击力量协调更加频繁：攻击者的分工更加详细。除了渗透人员、情报分析师和漏洞分析工具研发人员外，行业机构专家也参与其中。在实施攻击之前，通常需要在模拟环境中进行演练。
               
• 目标环境更加复杂多样：大型机构一般采用跨网跨域网络环境，包括互联网，DMZ、在这些场景中，网络资产类型、网络防护机制、网络组网方式不同，如图所示。
               
• 攻击装备品类全性能高：常用0Day漏洞利用工具突破大型机构的内部网络和核心系统资产，通过横向移动和持久工具完成后续操作。

图4 大型机构跨网跨域复杂场景示意图

2. 对抗态势

在网络空间系统攻击过程中，攻击者有一定的规模和分工合作，除了渗透者，还有漏洞挖掘、数据分析和行业专家。攻击设备通常储备了一批0Day漏洞工具和设备可持续的后门等级工具。注意攻击面、社会工作和内部不公开的收集。

除系统制造商、设备制造商和应用程序制造商外，还有工业控制制造商；除了传统的安全制造商外，安全制造商还威胁要分析制造商和安全审计制造商。此外，还有一些重点机构和政府力量进行特殊保护。

攻防双方对抗的是复杂系统的整体控制。具体对抗情况如图5所示。

图5

3. 典型案例

美军长期以来一直通过网络空间系统攻击实现其网络作战目标。美重规模效益，强调攻击效率，突出作战效果，注重攻击目标的选择“电信运营商、关键基础设施、骨干网络设备、网络管理人员、应用服务器(邮件服务器、域名服务器)WEB服务器等)”在第一次网络突破环节中采用更多的目标“中间攻击、供应链攻击、网络设备攻击、渡轮攻击、网络管理人员攻击”常用于网络目标控制攻击“漏洞、控制平台、持久后门、内网横向扩展”等待手段。在安全隐蔽的前提下，实现各种网络目标的大规模突破和持久隐蔽控制。

(1) 奥林匹克(Olympic Game)行动

伊朗核设施“奥运会”(Olympic Game)行动，最后通过“震网”(Stuxnet) 蠕虫成功入侵和破坏伊朗核设施，严重延迟了伊朗核计划，成为第一个使用恶意代码对实体设施造成重大不可逆转损坏的事件。

图6 震网病毒攻击示意图

NSA综合运用各种手段攻击伊朗核设施关键基础设施目标。

               
• 收集核设施目标信息，收集核设施设备型号、系统版本、网络结构等信息。
               
• 摆渡实施突破性植入，通过人工手段感染U盘带入内部网络，借助盘带入内部网络USB渡渡 基于漏洞的横向移动。U盘利用快速文件分析漏洞，传播到内部网络。
               
• 内网横向扩展攻击，内网快速分析漏洞，RPC远程执行漏洞，打印机后台程序服务漏洞，实现网络主机之间的传播；最后到达安装WinCC攻击软件主机。
               
• 工控系统致瘫攻击，在内网环境横向扩展过程中，扫描查找安装Siemens Step7、WinCC/PCS 7 SCADA控制软件主机并进行感染。修改和管理西门子PLC核设施转速异常导致参数工具载荷损坏。

(2) 金色极光(AURORAGOLD)行动

NSA全球手机监控“金色极光”(AURORAGOLD)通过收集关于全球移动通信运营商内部系统的信息，该计划为美国 2011年对利比亚的军事干预提供了利比亚重要人物的通信信息。

图7

NSA运营商的目标通常是从内部员工作为突破口进行迂回攻击。据曝光，美国曾对巴基斯坦国家电信公司(以下简称NTC)、黎巴嫩运营商(OGERO ISP)等待运营商进行网络攻击。

               
• 通过棱镜计划和关键评分计划，收集内部员工的目标信息，识别被动定位NTC对目前的员工进行评估NTCVIP部门联系SIGDEV针对已知的被Selector(NSA准确识别系统)标记的目标，并定位其他相关目标。到目前为止，被动定位已经被成功识别NTC VIP部门专门经营维护Green Exchange的员工。
               
• 内部员工中间人通过与内部员工进行攻击R&T一起使用SECONDDATE 和QUANTUM项目将成功推出4个新项目CNE accesses植入到Green Exchange中。
               
• 通过开发的核心骨干网络内网攻击CNE访问攻击载荷，成功控制VIP收集 部门和一个Green Exchange基本线路。这部分用于维护Green Exchange(位于安全区域的绿色交换机)。Green Exchange房间放置着ZXJ-10(用于电话网络的程控交换机)。这些程控交换机是巴基斯坦 Green Line 通信网络骨干(该网络专门为巴基斯坦高级官员和军事领导提供服务)实现控制核心骨干网络的网络攻击目标。

(3)网络空间系统攻击

网络空间系统攻击是通过系统建设提高网络攻击能力和高对抗强度的攻击形式。网络攻防系统不局限于某一特定目标，而是保持整个网络空间的持续网络攻击能力，是国家网络空间综合能力的集中体现。

1. 主要特点

               
• 巨额投资：系统建设需要大量的人力、物力和财力，以及相当强的技术储备。以美国为例，它在网络空间系统建设上投入了数百亿美元，建立了一个相对完整的系统。
               
• 庞大的体系：以美国为例，攻击系统和防御系统都由许多项目组成；最大的支撑架构被称为“湍流”(TURBULENCE)，由主动情报采集系统 组成TUMULT、 被动情报采集系统TURMOIL、任务逻辑控制系统 TURBINE、攻击性网空行动系统“量 子”(QUANTUM)、 主动防御系统TUTELAGE(我们之前介绍过， 有积极的防御CND主要实现)、密码服务 LONGHAUL、数据仓库 PRESSUREWAVE、 网络流量分析系统TRAFFICTHIEF 和信号情报分析系统CLUSTER WEALTH-2 等。这些系统各司其职，共同支持信息收集、情报分析、积极防御、决策控制、网络运营等网络空间行动的攻击性行动，共同构成了美国强大的网络空间攻击性能力支撑体系。
               
• 各种目标：无论是个人目标还是关键基础设施目标，无论是单一场景还是复杂场景，系统都能找到相应的能力支持。

2. 对抗态势

在网络空间系统攻击过程中，攻击者和防守者是系统和系统之间的对抗。除了配备大量的攻击和防御工具和设备系统外，还有各种支持和保证系统的建设。此外，企业和国家各部门需要参与投资力量。具体对抗情况如图所示，攻击和防御的重点是整个网络空间的整体控制。

图8

3. 典型案例

美国网络空间形成了强大的系统监控、攻击和主动防御能力。长期以来，我们特别重视网络空间安全架构的建设，重点关注网络空间安全主动防御系统、网络空间攻击支持系统和网络空间攻击设备系统的技术和设备的改革和发展。

(1) 网络主动防御系统

借助商业技术和能力，美军的网络空间安全主动防御系统将网络空间的威胁预警、入侵防御和安全响应能力相结合，打造跨领域网络空间态势感知系统，为联邦政府网络基础设施提供安全保障。

由于密级不同，美国“态势感知系统”防护范围分为联邦政府网络和军事网络两部分，因此，“态势感知系统”也分为两个子系统：Einstein系统以及TUTELAGE 系统分别移交给国土安全部国家网络通信集成中心和国家安全局（即网络战司令部）的威胁作战中心进行运行和管理。为了确保这两个领域的情况感知能力更高效，国家标准化技术研究所开发了威胁情报交换标准（如STIX、TAXII等)，保证了敏感数据交换在两个领域的高效实时。

图9 TUTELAGE项目架构图

(2) 网络攻击支撑系统

美国国防部认为，计算机网络对抗(Computer Network Operations, CNO)也就是说，本质上操纵计算机和网络，对计算机或其他网络本身或其上述信息和信息系统实施攻击和防御以及两者所需的支持行动。根据网络空间行动的目的， CNO 分为计算机网络防御(Computer Network Defense, CND)、计算机网络刺探(Computer Network Exploitation, CNE)计算机网络攻击(Computer Network Attack, CNA)，对应网空积极防御、网空情报行动和网空军事行动。

在斯诺登曝光的2009年8 月的绝密文件中也提到了TURBULENCE项目。本文解释了将主动和被动方法结合起来，从目标网络中渗出数据的过程。TURBULENCE 项目包括传感器(Sensors)、基础设施(Infrastructure)及分析(Analysis)三个模块。

图10 湍流工程架构图

(3) 网络攻击装备系统

自2008年以来，美国实施了许多进攻性的网络空行动，并具有相当大的破坏性能力。这种进攻性能力不仅来自于完善的后端支持系统，而且来自于强大的网络空攻击设备系统。美国的网络攻击设备系统以全平台、全功能为发展目标，具有模块化的特点，能够满足各种网络环境下的行动要求。

战场预制通过物流链劫持、运营商劫持、源代码污染、终端、设备、软件、用户身份信息、设备、软件、用户身份信息数据库，绘制网络地形，寻找关键目标；通过移动介质渡轮攻击、物流链劫持、近场作业突破物理隔离防线；通过渡轮攻击、侧通道、隐藏通道等实现远程控制。

利用网络攻击装备漏洞。NSA 有大量零日漏洞(从未公开披露)储备。2017年4月14日，影子经纪人组织曝光了一批NSA 网空攻击装备及相关漏洞信息。Fuzzbunch 是针对Windows 操作系统的漏洞利用平台可以在植入过程中直接将有效载荷植入目标主机，而无需生成物理文件。该平台还包括几个针对特定类型和可直接使用的漏洞，包括“永恒之蓝”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

图11 量子计划攻击装备

               
• 突破物理隔离网络攻击装备。为配合美国军事力量进行秘密行动，还需要能够突破物理隔离，渗透到对手内网，NSA 还开发了一系列工具和技术，重点突破物理隔离保护机制，“水腹蛇-1”(COTTONMOUTH-1)是最具代表性的一个。
               

图12

               
• 命令和控制网络攻击设备。在通常的网络入侵行动中，攻击者需要通信已进入目标网络/系统的恶意代码，发送指令并获取数据。因此，需要使用命令和控制工具，以安全和隐藏的方式尽可能实现攻击者与植入恶意代码之间的通信。NSA、CIA开发了一系列具有命令和控制能力的攻击平台和武器装备，功能原子化，目标全覆盖，典型代表DanderSpritz该平台通过正向、反向、激活包三种方式与受害者建立联系，同时通过分析发现，DS 平台在通信过程中严格加密，使安全分析人员即使捕获载荷样本也难以破解通信内容。

图13 DanderSpritz平台攻击装备

               
• 使用无线信号通信网络攻击设备。美国国家安全局(NSA)网络攻击设备的传播、通信和控制不仅取决于目标原有的网络或传统的移动媒体，还取决于使用无线信号实现信息传输，然后绕过大多数网络安全保护手段，实现信息窃取或内部网络渗透的网络攻击设备。

NSA 可用于信号采集离线室内活动(如高密度会议、讨论等)。“愤怒的邻居”(Angry Neighbor) 设备， 可通过隐藏通信通道主动收集视频、音频、无线信号，并转换为特定波段的射频信号；

NSA 在物理隔离网络中使用物理隔离网络Wi-Fi信号(在物理隔离网络中，由于管理不到位，往往存在非法私接Wi-Fi 网络)的漏洞进行重定向并入侵的“床头柜”(NIGHTSTAND)装备;

图14 离线信号采集装备

               
• 网络攻击装备的持久控制。美国一直坚持“一切都可以持久的节点”将其作为重要的战略资源储备，为长期信息窃取和未来可能的网络战做准备。

NSA 相关设备主要由具体入侵行动办公室(TAO)先进网络技术组下属(ANT) 开发。更具代表性的设备包括Juniper 不同系列防火墙的工具集“ 蛋奶酥槽”(SOUFFLETROUGH) 和“ 给水槽”(FEEDTROUGH)、针对思科Cisco 系列防火墙“ 喷射犁”(JETPLOW)、华为路由器“水源”(HEADWATER)、针对Dell 服务器“神明弹跳”(DEITYBOUNCE)、桌面和笔记本电脑“盛怒的僧侣”(IRATEMONK)等。

图15 华为防火墙持久后门攻击设备

(4)网络空间联合攻击

网络空间联合攻击是指网络空间攻击行动为陆地、海洋、空气和天空等军事物种提供各种作战支持。网络对抗作为军事对抗的一部分，在一定程度上可以反映一个国家的综合军事实力。

1. 主要特点

               
• 军种联合协作：海、陆、空、天网多军种联合作战。网络攻击作为军事作战行动的一部分，可以为其他军种提供行动合作、情报支持和舆论指导。
               
• 突出军事效益：网络攻击的目标往往是军事指挥系统或能够影响军事行动的各种目标。
               
• 攻击方式多样：网络联合作战主要进行致瘫、拒绝、干扰、欺骗等软杀伤和硬损伤。

2. 对抗态势

在网络空间联合攻击过程中，攻击者和防守者一般处于军事对抗阶段。网络攻击通常由军事指挥机构统一指挥，并与其他军事行动密切合作。因此，联合攻击具有较强的军事对抗特征。具体对抗情况如图所示。攻防对抗的重点是控制整个军事对抗。

图16 网络空间联合攻击对抗

3. 典型案例

美国和俄罗斯是第一个在军事行动中应用网络攻击的国家。网络攻击取得了一系列令人印象深刻的成就。目前，网络作战已成为一种新的军事作战风格。

(1) 海湾战争开始网络作战

1991在2000年的海湾战争中，美国首次将网络攻击引入军事战争。中央情报局通过特工将病毒芯片注入伊拉克从法国购买的防空系统，最终导致伊拉克指挥中心失败。

第一次海湾战争期间，伊拉克从法国购买了一批网络打印机。美国特工了解到这一点，将固化病毒程序的芯片与打印机中的芯片转移到包中。空袭前，病毒通过遥控激活，使伊拉克防空指挥中心主计算机系统瘫痪。最后，伊拉克军队只被打败了。

(2) “舒特”网络攻击显示威力

2007以色列空军第69战斗机中队18架战斗机为了扼杀叙利亚核计划的萌芽状态F-16战斗机悄然突破叙利亚在叙利亚边境部署的先进俄罗斯“道尔”-M1防空系统精确轰炸叙以边境以西约100公里、大马士革东北约400公里的核设施，并从原路安全返回。

据披露，美军“舒特”攻击系统通过远程无线电入侵瘫痪雷达和无线电通信系统，使叙利亚防空系统失效。作为一种新型的网络攻击系统，用于网络武器平台和网络信息系统，“舒特”代表军事技术和作战模式的发展趋势，必将带来新的战争景观。

(3) “震网”网络物理战的先驱

20102008年8月，伊朗在俄罗斯的帮助下建造了布什尔核电站，但计划于10月正式发电的核电站多次被推迟。一年后，据媒体报道，由于来源不明的计算机网络病毒攻击，超过3万台计算机“中招”，位于纳坦斯的千台离心机报废，刚封顶的布什尔核电站不得不取出核燃料并延期启动，伊朗核发展计划则被迫搁置。这种后来被冠名为“震网”病毒开创了通过网络控制和摧毁实体的先例。

(4) 网络在俄格冲突中的作用突出

2008年8月俄罗斯对格鲁吉亚发动的网络攻击是第一次与主要常规军事行动同时发生的大规模网络攻击。这些网络攻击削弱了格鲁吉亚人与外界沟通的能力，在信息和心理上对媒体、政府以及公众产生了重大影响。

战后，俄罗斯对格鲁吉亚的网络攻击迅速全面展开，使格鲁吉亚的官方网站瘫痪，包括媒体、通信和交通系统，直接影响了格鲁吉亚的战争动员和支持能力。

被称为“美国网络后果单元(US Cyber Consequence Unit)”一位私人非营利组织的安全专家将俄罗斯对格鲁吉亚的网络攻击分为两个阶段。

在第一阶段，俄罗斯黑客发起的攻击类型主要是分布式拒绝服务(DDoS)攻击。俄罗斯的攻击组织利用僵尸网络攻击格鲁吉亚政府和媒体网站。

第二阶段的网络运营努力破坏更多的目标，包括金融机构、教育机构、西方媒体和格鲁吉亚黑客网站。攻击这些服务器不仅包括 DDoS 攻击还包括篡改服务器的网站。此外，一些俄罗斯黑客利用格鲁吉亚政客公开可用的电子邮件地址发起垃圾邮件攻击。

(5)网络空间整体攻击

网络空间的整体攻击是对政治、军事、外交、经济、心理、文化等领域的全面攻击。在这个阶段，国家进入了全面对抗阶段，可以反映一个国家的综合实力。

1. 主要特点

               
• 战略驱动:网络攻击行动与各国战略目标相衔接，可作为实现国家战略意图的新手段。
               
• 全方位对抗配合军事战、政治战、外交战、经济战、心理战、媒体战、文化战等多种斗争形式，在全面对抗中发挥突出作用。

2. 对抗态势

网络空间总体攻击过程中，攻击方和防守方一般为国家实体，网络攻击目标覆盖各个行业，攻击结果不仅仅是具体的，往往会产生外溢效应。具体对抗态势如图所示，攻防双方对抗的焦点聚焦于取得国家斗争主动权。

图17

3. 典型案例

(1) “邮件门”影响美大选走势的事件

在一系列影响网络黑客选举的事件中，“邮件门”最受公众舆论关注。在民主党提名会议前夕，世界著名的泄密网站揭露了19252封电子邮件、8034件附件和29份音频文件，大量电子邮件显示希拉里勾结民主党高层、内部候选人和参与“洗钱”许多丑闻，如控制媒体。美国联邦调查局宣布“邮件门”调查引起了公众舆论的轰动，特朗普的支持迅速缩小了与希拉里的差距。11月7日，美国联邦调查局宣布将维持7月份的调查结论。在整个选举过程中，两名总统候选人借此机会揭幕。美国政府和主流媒体认为，俄罗斯在最近的总统选举中遭到了黑客攻击“幕后黑手”，黑客攻击引发的邮件泄密是为了帮助有亲俄政治倾向的特朗普成为总统。

(2) 委内瑞拉大规模停电事件

20192000年，委内瑞拉在全国范围内大规模停电，首都加拉加斯等大部分地区陷入黑暗。全国18个州的电力供应中断，只有5个州幸免。突然的电力系统崩溃没有任何警告。停电给委内瑞拉带来了重大损失。全国交通瘫痪，地铁系统关闭，医院手术中断，所有通信线路中断，航班无法正常起降。委内瑞拉官员认为，事故是由于委内瑞拉最大的古里水电站遭到反对派和美国网络攻击造成的。

美国多次与哥伦比亚和委反对派合作，从国际互联网上对委内瑞拉使用类似的网络病毒武器，导致发电设施和供电设施停止。

下一篇文章《五大网络空间攻击威胁及应对策略》(下)