1.1 威胁简史
与经济社会的发展类似,网络威胁的发展也经历了从简单到复杂,从无组织到有组织的过程。总体来看,我们大致可以把网络威胁的发展分为萌芽时代、黑客时代、黑产时代和高级威胁时代。不过,这些时代的变迁总体上是一个演进的过程,很难严格、精确地进行年代区分。
1.1.1 萌芽时代
萌芽时代也就是网络威胁的幼年时代。这个时代可以从计算机的诞生之日算起,到20世纪末、21世纪初才结束。这个时代的计算机系统相对简单,互联网的普及程度也十分有限,能够开发木马病毒的人少之又少。所以,这个时代的木马病毒数量很少,代码结构也比较简单,破坏力和威胁性都很有限。
在这个时代,最具代表性的网络威胁事件莫过于磁芯大战、大脑病毒和莫里斯蠕虫的传播。
1.计算机病毒的理论原型
1946年2月14日,世界上第一台通用计算机在美国宾夕法尼亚大学诞生。这台名为“埃尼阿克”(ENIAC)的计算机占地面积约170平方米,总重量约30吨。
就在其诞生后仅3年,也就是1949年,冯·诺依曼就在其论文《复杂自动装置的理论及组织的进行》中,首次提出了一种会自我繁殖的程序存在的可能。而冯·诺依曼的这一观点,被后人视为计算机病毒最早的理论原型。当然,以今天的眼光来看,计算机病毒未必都有传染性或自我繁殖的特性,但早期的计算机病毒确实如此。
从理论到实践,计算机病毒的发展又经历了漫长的过程。1966年,在美国贝尔实验室里,工程师威廉·莫里斯(罗伯特·莫里斯的父亲)和两位同事在业余时间共同开发了一个游戏:游戏双方各编写一段计算机代码,输入同一台计算机中,并让这两段代码在计算机中“互相追杀”。由于当时计算机采用磁芯作为内存储器,所以这个游戏又被称为磁芯大战。
磁芯大战的技术原理与后来的计算机病毒非常接近,其产生的代码也可以说是在实验室里培养出来的“原始毒株”。不过,由于当时计算机还是个稀罕物,基本上只存在于实验室中,磁芯大战的相关代码并没有流入民间。因此,人们一般不会把磁芯大战的相关代码作为第一个病毒来看待,而是普遍将其视为计算机病毒的实验室原型。
2.早期的计算机病毒
计算机病毒从实验室原型走进现实生活,又经过了20年左右的时间。1986年,第一个流行计算机病毒“大脑病毒”诞生。时隔两年,1988年,第一个通过互联网传播的病毒——莫里斯蠕虫诞生。
(1)大脑病毒——公认的第一个流行计算机病毒
大脑病毒由一对巴基斯坦兄弟编写。因为其公司出售的软件时常被任意非法复制,使得购买正版软件的人越来越少。所以,兄弟二人便编写了大脑病毒来追踪和攻击非法使用其公司软件的人。该病毒运行在DOS系统下,通过“软盘”传播,会在人们盗用软件时将盗用者硬盘的剩余空间“吃掉”。所以说,人类历史上的第一个计算机病毒实际上是为了“正义”而编写的“错误”程序。
(2)莫里斯蠕虫——第一个通过互联网传播的病毒
莫里斯蠕虫由康奈尔大学的罗伯特·莫里斯制作。1988年,某大国国防部的军用计算机网络遭受莫里斯蠕虫攻击,致使网络中6000多台计算机感染病毒,直接经济损失高达9600万美元。后来出现的各类蠕虫都是模仿莫里斯蠕虫编写的。罗伯特·莫里斯编写该蠕虫的初衷其实是向人们证明网络漏洞的存在,但病毒扩散的影响很快就超出了他的想象。为此,他被判有期徒刑3年、1万美元罚金和400小时社区服务。
3.计算机病毒大流行
20世纪90年代中后期,Windows操作系统开始在全球普及。计算机病毒的攻击目标也开始从早期操作系统(如DOS)逐渐进化为Windows系统,并开始通过软盘、光盘、互联网和移动存储设备等方式进行传播。世界范围内的“病毒灾难”几乎每隔一两年就会爆发一次。CIH、梅利莎、爱虫、红色代码等知名病毒都在这一时期先后涌现。
4.萌芽时代的主要特点
整个萌芽时代的网络威胁,主要有以下几个特点。
(1)带有感染性、破坏性的传统计算机病毒是主要威胁
总体来看,萌芽时代的网络威胁形式还比较单一,绝大多数都是带有感染性和破坏性的传统计算机病毒。这些病毒感染计算机后,大多会有明显的感染迹象,也就是说,病毒通常会主动自我显形;同时,不论传染方式如何,这些病毒大多自动发起攻击。这与后来流行的自我隐形、定点攻击的主流木马程序有很大的区别。
此外,萌芽时代还没有智能手机,病毒攻击的目标主要是计算机。
(2)计算机病毒数量不多,攻击目标不定
萌芽时代绝大多数的流行病毒都是由制作者手动编写的,因此产量较低,平均每年流行的新病毒数量为几百到几千个。
此外,以今天的眼光来看,当时的绝大多数病毒制作者都是“不可理喻”的。因为这些病毒除了搞破坏,就是搞各种恶作剧,病毒的“发作”通常都不会给病毒制作者带来任何好处。制作这些病毒的目的,有的是验证问题(如莫里斯蠕虫),有的是炫耀技术,还有一些是伸张“正义”,如防止盗版(如打包病毒)或警示人们应该给计算机打补丁等。
(3)计算机病毒的传播大多利用已知的安全漏洞
在萌芽时代,漏洞的概念已经广为人知。但由于给计算机打补丁的人少之又少,所以,绝大多数的计算机病毒的传播都没有必要利用0day漏洞(软件和系统服务商尚未推出补丁的安全漏洞),而是直接利用已知漏洞,甚至是已经修复数月的漏洞。
漏洞的问题,在萌芽时代一直没有得到很好的解决。这主要是由于当时的普通用户给计算机打补丁非常困难。直到2006年免费安全软件开始在国内普及,以及2007年由免费安全软件提供的第三方打补丁工具开始流行,传统病毒的大规模流行才被逐渐终结。如今,所有常见的民用操作系统,如Windows、Mac OS、Android、iOS等,都已经为用户提供了主动的补丁推送机制,打补丁已经成了一种“简单的习惯”,病毒在民用领域大规模爆发的事件较为罕见。
1.1.2 黑客时代
1.新型威胁层出不穷
黑客时代持续的时间不算太长,大致范围是在21世纪的最初10年。在这个时代,社交网络、游戏和电子商务等互联网应用空前繁荣,使得网络攻击变成了一件“有利可图”的事。
在利益的驱动之下,木马程序、挂马网页、钓鱼网站、流氓软件等新型攻击手法不断涌现,网络诈骗的雏形出现,网络攻击互动日益活跃,并开始呈现爆发式增长。此外,针对企业和机构的DDoS攻击、网页篡改和渗透等活动也日渐活跃。
2.超级病毒继续肆虐
在黑客时代,个人计算机中的安全软件普及率和打补丁率仍然很低,因此,各类超级病毒仍在继续流行,比较有名的包括冲击波、MyDoom、Shockwave(震荡波)、熊猫烧香等。其中,冲击波和熊猫烧香最具影响力。
(1)冲击波病毒(2003年)——历史上影响力最大的病毒
2003年8月,冲击波病毒席卷全球。该病毒利用微软网络接口RPC漏洞进行传播,传播速度极快,1周内感染了全球约80%的计算机,成为历史上影响力最大的病毒。
计算机感染冲击波病毒之后的现象也非常独特,计算机在开机后会显示一个关机倒计时提示框,如图1-1所示,该框无法关闭,计时到0以后,计算机就会自动关闭。再次开机又会重复这一过程,使计算机无法使用。
(2)熊猫烧香(2007年)——国内知名度最高的病毒
熊猫烧香是知名度最高的“国产”病毒。该病毒从2007年1月开始肆虐网络,感染的计算机数量达几百万台。该病毒的主要特点是,将计算机上所有的可执行程序的图标改成熊猫举着三根香样子的图片,如图1-2所示,并导致计算机系统甚至整个局域网瘫痪。
图1-1 感染冲击波病毒
图1-2 感染熊猫烧香病毒
3.黑客时代的主要特点
相比于萌芽时代,黑客时代的攻击技术和攻击方式都有了很大的进步,为日后的黑产时代奠定了基础。总体来看,黑客时代的网络威胁主要有以下几个特点。
(1)安全失衡
这个时代,互联网的普及速度、网络攻击技术的发展速度都大大超出了网络安全技术与服务的发展速度,使得应用与安全之间失去平衡,绝大多数的个人计算机都处于极低的防护水平。
(2)单兵作战
由于在这个时代入侵个人计算机非常容易,因此即便单兵作战,攻击者通常也会获得很高的收益且风险很低。也正因为如此,黑客时代的绝大多数攻击者都会单独行动,而绝大多数被攻击的人也都是普通网民。
(3)利益驱动
尽管大规模的破坏性攻击仍然时有发生,但恶意程序从传统病毒向现代木马的进化过程非常显著。熊猫烧香之后,纯粹搞破坏的病毒几乎绝迹,而木马程序则“遍地开花”。诸如挂马网页、钓鱼网站、流氓软件等新型威胁,实际上都是利益驱动下阴暗活动的产物。
1.1.3 黑产时代
1.网络威胁持续升级
进入21世纪第2个10年,随着免费安全软件的普及,普通个人计算机面临的直接网络威胁越来越小,动辄数百万台计算机被感染的事件几乎绝迹。但是,与传统网络威胁逐渐消失相伴的是网络黑产的日益成熟。信息泄露、网络诈骗、勒索病毒、挖矿木马、DDoS攻击、网页篡改等多种形式的网络威胁开始迅速地大范围流行。
下面简要介绍信息泄露、网络诈骗、勒索病毒和挖矿木马。
在国内,信息泄露问题最早被关注是在2011年,起因是国内某知名的开发者社区发生大规模信息泄露事件。此后,信息泄露问题在全球范围内持续高发。2019年,仅被全球媒体公开报道的重大信息泄露事件就达近300起,信息泄露总规模达10亿亿条。补天漏洞响应平台数据显示,2017年以来,国内网站因安全漏洞造成的信息泄露规模每年高达50亿~80亿条。
信息泄露的直接后果之一就是网络诈骗的盛行。表面上看,信息泄露的责任主体是企业,但受影响最深的是普通网民。2016年,山东临沂女学生徐某因被网络诈骗而死亡,引发了人们对信息泄露与网络诈骗的高度关注。网络购物退款诈骗、机票退改签诈骗、冒充公检法诈骗等多种精准、高危的诈骗形式,让普通网民防不胜防。
勒索病毒最早兴起于2015年前后,并因2017年全球爆发的WannaCry病毒(中文名:永恒之蓝)而广为人知。早期的勒索病毒主要针对企业高管等高价值人群,2017年以后则转为攻击企业和机构服务器或工业控制系统。
挖矿木马几乎与勒索病毒同时出现,但直到2019年才开始大范围流行。挖矿木马早期的攻击目标主要是智能手机和物联网设备,后期则开始大规模攻击企业和机构服务器。
2.黑色产业链日趋成熟
黑产时代,网络犯罪组织与黑色产业链日趋成熟。以网络诈骗为例,即便是小型网络诈骗团伙,一般也由5~10人组成,并且团伙成员一般只完成最终的诈骗环节,至于个人信息窃取、犯罪工具准备(银行卡、电话卡、身份证等)、木马病毒制作、钓鱼网站制作、销赃分赃等环节,则由产业链上的其他人员完成。而产业链上不同环节的人员,甚至可能互不相识,他们通过社交软件或黑产平台进行交流。
图1-3给出了一个典型的网络诈骗产业链模型,其中包括至少23个不同的具体分工。
图1-3 网络诈骗产业链模型
除网络诈骗,勒索病毒、挖矿木马、DDoS攻击、网页篡改等各类网络危胁,如今也基本上都是由专业的犯罪团伙在上下游产业链的支撑下实现的,单兵作战的情况已经非常少见。还有部分犯罪团伙会以注册企业的形式明目张胆地组织大规模网络犯罪活动。在日渐成熟的黑色产业链的专业攻击之下,普通群众或一般的企业和机构已经很难独善其身,很难再依靠自己的力量保护好自己。
3.黑产时代的主要特点
(1)黑色产业链已形成,攻击手法更专业
攻击组织化、手段专业化、产业链条化是黑产时代网络威胁的主要特点。据估算,在全国范围内,网络黑产从业人数可能多达上百万。
(2)智能手机与物联网设备成攻击目标
在萌芽时代和黑客时代,个人计算机都是网络攻击的主要目标。但进入黑产时代以后,智能手机很快成了各类网络威胁,特别是网络诈骗主要的攻击目标。
同时,物联网设备防护能力低,漏洞修复不及时等问题,也使得其频频沦陷。2016年10月发生的某国断网事件,就是由一个控制了近90万个物联网设备,名为Mirai的僵尸网络发起的DDoS攻击造成的。
(3)企业和机构成主要攻击目标
相比于个人计算机或智能手机的安全防护,企业和机构复杂的办公系统与业务系统的安全防护要困难得多,并且很难找到“一招鲜”的解决方案。在个人网络安全服务几近饱和的情况下,更具专业能力的犯罪团伙自然就把“漏洞百出”但价值更高的企业和机构当成了主要的攻击目标。这就导致了近年来由网络威胁引发的安全生产事故层出不穷。
1.1.4 高级威胁时代
2010年在伊朗爆发的震网病毒(Stuxnet)开启了一个新的时代篇章,具有强大资金和技术能力背景的攻击组织开始逐渐被人们认识。2013年的棱镜门事件、2015年底到2016年初的希拉里“邮件门”、乌克兰大停电事件,以及2017年爆发的WannaCry事件等,其背后都有强大的攻击组织的身影。这些组织往往技术高超且十分隐蔽,一般很难被发现。网络安全工作者一般称这种网络威胁为高级威胁,如果这种高级威胁是持续不断的,那么就称其为高级持续性威胁(Advanced Persistent Threat,APT)。高级威胁时代与黑产时代都是从2010年开始的,同属一个时期,但是它们背后的技术手段不同。
1.著名的高级威胁事件
(1)震网病毒
震网病毒是世界上第一个军用级网络攻击武器、第一个针对工业控制系统的木马病毒和第一个能够对现实世界产生破坏性影响的木马病毒。
震网病毒,英文名称是Stuxnet,最早于2010年6月被发现。在其被发现前近1年的时间里,该病毒至少感染了全球45000个工业控制系统,其中近60%出现在伊朗。由于该病毒的针对性很强,因此绝大多数被感染的系统并没有发生任何异常现象。
(2)乌克兰大停电
2015年12月23日,也就是2015年的圣诞节前夕,乌克兰一家电力公司的办公计算机和工业控制系统遭到网络攻击,导致伊万诺·弗兰科夫斯克地区将近一半的家庭经历了数小时的停电。
攻击乌克兰电力系统最主要的恶意程序名为BlackEnergy。黑客能够利用该程序远程访问并操控电力控制系统,此外,在乌克兰境内的多家配电公司设备中还检测出了恶意程序KillDisk,其主要作用是破坏系统数据,以延缓系统的恢复过程。
(3)WannaCry
2017年4月,黑客组织“影子经纪人”在互联网上公布了包括“永恒之蓝”在内的一大批据称是“方程式组织”(Equation Group)漏洞利用工具的源代码。仅一个月后,即2017年的5月12日,一个利用了“永恒之蓝”工具的勒索病毒WannaCry开始在全球范围内大规模爆发,短短几个小时内,就有中国、英国、美国、德国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家被报道遭到了WannaCry的攻击,大量机构的设备陷入瘫痪。据媒体报道,受此次病毒影响的国家超过100个。这是自冲击波病毒之后,全球范围内最大规模的一场网络病毒灾难。
2.高级威胁组织
所谓高级,其实就是指攻击手法高超。能够发起高级威胁攻击的攻击组织中最有名的是方程式组织。这个组织被普遍视为来自北美地区的攻击组织,是目前已知的技术水平最高、代码武器库最丰富的APT组织。震网病毒事件就是由该组织发起的,而具有全球性破坏力的WannnaCry,也是利用了该组织的代码武器库中的漏洞利用工具“永恒之蓝”编写而成的。
除了方程式组织,国际上比较有名的APT组织还有2013年通过攻击补丁服务器致使韩国2家银行、3家电视台计算机系统瘫痪的Lazarus和2015年希拉里“邮件门”事件中制造邮箱攻击事件的APT28等。
2015年,APT组织“海莲花”被国内安全机构披露。此后,国内各大安全机构也纷纷对APT组织展开深入的研究。截至2020年初,世界各国安全机构已累计披露各类APT组织150多个。其中,奇安信威胁情报中心已独立截获各类APT组织40个,已经公开披露并命名APT组织14个,包括美人鱼、人面狮、双尾蝎、黄金鼠、肚脑虫、盲眼鹰、拍拍熊、诺崇狮、海莲花、摩诃草、蔓灵花、蓝宝菇、毒云藤和黄金眼。
其中,黄金眼组织是一个以合法软件开发企业为伪装、以不当赢利为目的的长期从事敏感金融交易信息窃取活动的境内APT组织。尽管该组织并没有任何国家背景,但其攻击技术与攻击能力均已达到APT水准,所以,我们也将其归为APT组织。
3.高级威胁的历史影响
高级威胁的出现,使得绝大多数的传统安全方法失效。甚至从理论上讲,高级威胁是无法完全有效防御的。这就要求我们必须转变安全思想,从单纯的重视事前防御转向重视快速检测与快速响应。目前,以大数据、流量分析、威胁情报等技术为代表的新一代网络安全技术开始受到重视,并在应对高级威胁过程中得以快速发展。而一家安全机构对APT组织及其行动的研究和发现能力,也在一定程度上代表了这家机构的综合能力。