“方程式組織”攻擊SWIFT服務提供商EastNets事件復盤分析報告

時間 ：  2019年06月01日  來源：  安天CERT

PDF報告下載

1、事件背景

---

        網空威脅行為體是網絡空間攻擊活動的來源，它們有不同的目的和動機，其能力也存在明顯的層級差異。根據作業動機、攻擊能力、掌控資源等角度，安天將網空威脅行為體劃分為七個層級，分別是業余黑客、黑產組織、網絡犯罪團伙或黑客組織、網絡恐怖組織、一般能力國家/地區行為體、高級能力國家/地區行為體、超高能力國家/地區行為體（參見附件一）。其中，超高能力國家/地區行為體，或稱為超高能力網空威脅行為體，擁有嚴密的規模建制，龐大的支撐工程體系，掌控體系化的攻擊裝備和攻擊資源，可以進行最為隱蔽和致命的網絡攻擊。安天曾將這種網絡攻擊稱之為A2PT（即高級的高級可持續性威脅）。

        “方程式組織”（Equation Group）正是這樣一種典型的超高能力網空威脅行為體。2015年2月，由卡巴斯基實驗室首次公開披露。卡巴斯基稱其已活躍近20年，可能是當前最復雜的APT攻擊組織之一[1]。安天多年來持續追蹤“方程式組織”的威脅行為，從2015年3月至今，先后發布了四篇分析報告：《修改硬盤固件的木馬——探索方程式組織的攻擊組件》[2]，分析了其部分木馬模塊組件和基于硬盤固件持久化的機理；《方程式部分組件中的加密技巧分析》[3]，揭示了其資源的加密方法；《從“方程式”到“方程組”——EQUATION攻擊組織高級惡意代碼的全平臺能力解析》[4]，揭示了其木馬載荷的全操作系統平臺覆蓋能力，并獨家曝光了其針對Solaris和Linux的樣本；《方程式組織Equation DRUG平臺解析》[5]，則形成了對其原子化作業木馬的積木拼圖。在這些工作中，我們最大的遺憾，莫過于這些分析依然停留在惡意代碼分析的視角，我們只能對在已達成攻擊目標的現場的有限提取結果，結合基于威脅情報擴線關聯到的樣本，來展開分析工作。從業內已發表的分析成果來看，無論對于方程式組織的活動，還是對于同樣來自超高能力網空威脅行為體的“震網”[6]、“火焰”[7]、“毒曲”[8]等攻擊活動，都基本建立在，對所使用漏洞的原理分析、對樣本的逆向分析，以及對樣本作用機理的復盤之上。盡管這些工作同樣是復雜和艱難的，但并不能掩蓋防御者對超高能力網空威脅行為體在戰術和過程認知上的不足。這是因為，以“方程式組織”為代表的超高能力網空威脅行為體有一套完整、嚴密的作業框架與方法體系；擁有大規模支撐工程體系、制式化裝備組合，進行嚴密的組織作業，高度追求作業過程的隱蔽性、反溯源性，使其攻擊看似“彈道無痕”，其突破、存在、影響、持續直至安全撤出網絡環境或系統的軌跡很難被察覺，導致防護者對其網空行動中實際的攻擊技術、戰術和過程（TTP）以及相應軌跡知之甚少，包括對于其從研究分析、信息采集、環境塑造、前期偵察，到入口突破、橫向移動、持久化、隱蔽對抗、信息獲取、長期控制等活動，無法在整個威脅框架視角進行全面的信息掌握和解讀。

        隨著斯諾登的曝光，對于超高能力網空威脅行為體的相關工程體系、裝備體系，有了更多可以分析的文獻資料。而2017年，影子經紀人的爆料，則讓一批攻擊裝備浮出水面。一方面，這些漏洞利用工具和惡意代碼載荷的外泄，被其他低層級的網空威脅行為體快速而廣泛的利用，包括釀成了魔窟（WannaCry）蠕蟲大爆發等信息災難；另一方面，這些信息也成為了安全研究者從完整的威脅框架角度去分析超高能力網空威脅行為體的攻擊活動全貌的極為寶貴的研究資源。

        其中在2017年4月14日，“影子經紀人”曝光的數據中包含一個名為SWIFT的文件夾，完整曝光了“方程式組織”針對SWIFT金融服務提供商及合作伙伴的兩起網絡攻擊行動的詳實信息：“JEEPFLEA_MARKET”和“JEEPFLEA_POWDER”。其中，2012年7月至2013年9月期間發起的“JEEPFLEA_MARKET”攻擊行動，針對中東地區最大的SWIFT服務提供商EastNets，成功竊取了其在比利時、約旦、埃及和阿聯酋的上千個雇員賬戶、主機信息、登錄憑證及管理員賬號；“JEEPFLEA_POWDER”攻擊行動，主要針對EastNets在拉美和加勒比地區的合作伙伴BCG（Business Computer Group），但此次行動并未成功。

        安天CERT將多年對方程式組織的分析進展與這一文件夾中所曝光的各種信息線索進行了組合復盤，還原了“方程式組織”對EastNets網絡的攻擊過程。通過復盤我們可以看到，這是一起由超高能力網空威脅行為體發起，以金融基礎設施為目標；從全球多個區域的預設跳板機進行攻擊；以0Day漏洞直接突破兩層網絡安全設備并植入持久化后門；通過獲取內部網絡拓撲、登錄憑證來確定下一步攻擊目標；以“永恒”系列0Day漏洞突破內網Mgmt（管理服務器） 、SAA業務服務器和應用服務器，以多個內核級（Rootkit）植入裝備向服務器系統植入后門；通過具有復雜的指令體系和控制功能平臺對其進行遠程控制，在SAA業務服務器上執行SQL腳本來竊取多個目標數據庫服務器的關鍵數據信息的高級持續性威脅攻擊事件。

        安天分析小組力求以態勢感知的工作思路形成過程復盤，對超高能力網空威脅行為體的攻擊活動進行初步的抽絲剝繭，對接威脅框架視角的解讀，為重要信息系統和關鍵信息基礎設施的規劃、建設和運維者，提供關于如何建立有效的防御體系的參考依據。

2 、被攻擊目標資產情況

---

2.1 SWIFT介紹

        SWIFT，全稱Society for Worldwide Interbank Financial Telecommunications，中文名為“環球同業銀行金融電信協會”，1973年5月，由來自美洲和歐洲的15個國家的239家銀行正式組建，總部設在比利時首都布魯塞爾。該組織運營著世界級的金融報文網絡，各國銀行和其他金融機構通過其提供的安全、標準化和可信的通道與同行交換報文，從而完成金融交易。除此之外，SWIFT還向金融機構銷售軟件和服務。截至2015年，SWIFT的服務已經覆蓋全球200多個國家和地區的11000多家銀行和證券機構、市場基礎設施和公司客戶，每日處理的報文次數達到1500萬。

2.2 被攻擊的SWIFT服務提供商介紹

        經過認證的SWIFT服務提供商（SWIFT Service Bureau）為客戶提供了一種高效訪問完整SWIFT服務的方法，相當于客戶的云提供商，目前全球共有74家。此次攻擊行動的目標EastNets是中東地區最大的SWIFT服務提供商。

圖 2-1 EastNets機構簡介

        總部設在迪拜的EastNets是全球領先的金融服務領域合規和支付解決方案提供商，提供多種涉及SWIFT交易的服務，包括合規性、了解客戶以及反洗錢等。在過去的35年中，EastNets利用特有的專業知識，為客戶打擊金融犯罪，制定和實施標準化及個性化解決方案，并提供風險管理、監控，分析及最先進的咨詢服務和客戶支持。EastNets還專注于端到端支付解決方案，使金融機構能夠將傳統的支付挑戰轉化為機遇，并使其更有效，更具成本效益地運營。包括一些大型國際金融機構在內的750多家客戶依賴EastNets解決方案和專業服務，270多家企業和金融機構依靠EastNets提供外包SWIFT連接和合規軟件解決方案。EastNets在全球主要城市設有地區辦事處，并由廣泛的全球戰略合作伙伴網絡提供支持[9]。

        根據Treasury And Risk的統計[10]，加盟到SWIFT中的成員，70%會選擇SWIFT服務提供商，來避免自建SWIFT產生的過高投入以及后續操作維護階段的費用。SWIFT服務提供商就像是客戶的“云”一樣，在客戶間發生SWIFT交易以及信息交換時，由其通過Oracle數據庫以及SWIFT軟件來管理。正是因為可以訪問所有這些銀行交易，很多SWIFT服務提供商也可以提供合規性、了解客戶以及反洗錢服務。

2.3 被攻擊資產簡況

        分析此次“方程式組織”攻擊行動可以發現，EastNets網絡環境按照不同功能特性從VPN接入、區域邊界再到分管理服務器、應用服務器、數據庫服務器等進行了一定的層次和分區設計，各個邏輯分區之間也做了基于端口、IP的訪問控制策略，部署了企業級防火墻，并且在服務器上部署了主流品牌的安全防護軟件。但是即使這種具有一定的基礎防護能力和防御縱深的網絡信息系統，在面對超高能力網空威脅行為體的攻擊時，依然被攻陷。

        在此次攻擊中，EastNets網絡遭受攻擊的資產包括VPN防火墻設備、企業級防火墻設備、管理服務器、應用服務器、SWIFT業務服務器、終端主機信息、登錄憑證和安全防護軟件與應用軟件等資產，圖2-2繪制了被攻擊主要資產簡況的拓撲圖。

圖 2 2 被攻擊資產簡況拓撲圖

2.3.1 被攻擊的網絡安全設備及網絡設備信息

        EastNets至少有10臺以上的網絡安全設備和網絡設備被攻擊或被探測，主要以Cisco和Juniper兩種品牌為主，相關設備名稱、軟件版本、開放端口等信息，被方程式組織完全獲取，并被影子經紀人泄露。詳細信息如表2-1所示。

表 2-1被攻擊的企業級防火墻設備的詳細信息

 

2.3.2 被攻擊的管理服務器信息

        被攻擊的管理服務器一共有2臺，內網IP分別為192.168.206.110（192.168.208.10 / 10.255.10.10）和192.168.206.111（192.168.208.11 / 10.255.10.11）。相關服務器主機名稱、MAC地址、開放端口、安全防護軟件和版本以及管理員用戶名和口令信息等，被方程式組織完全獲取，并被影子經紀人泄露。兩臺服務器均為Windows Server 2008系統，均開放了445和3389端口，其中一臺安裝了賽門鐵克端點防護軟件，另一臺未安裝防護軟件。詳細信息如表2-2所示。

表 2-2被攻擊的管理服務器的詳細信息

2.3.3 被攻擊的應用服務器信息

        被攻擊的應用服務器共4臺，其中包括郵件服務器、FTP服務器等。相關服務器主機名稱、MAC地址、開放端口、安全防護軟件和版本以及管理員用戶名和口令信息等，被方程式組織完全獲取，并被影子經紀人泄露。其中兩臺FTP服務器為Windows Server 2008系統，均開放21端口，其中一臺還開放了22、135、446端口，兩臺服務器均安裝了賽門鐵克端點防護軟件。另外兩臺郵件服務器均為Windows Server 2003系統，郵件系統使用Exchange Server搭建，均使用卡巴斯基端點防護軟件進行防護。兩臺服務器均開放了DNS服務端口，其中一臺提供SMTP和POP3服務，另一臺通過OWA（Outlook Web Access）提供基于HTTPS協議的Webmail服務。詳情如表2-3所示。

表 2-3被攻擊的應用服務器的詳細信息

2.3.4 被攻擊的SWIFT業務服務器信息

        遭遇攻擊的SAA（SWIFT Alliance Access）服務器有10臺，其中有6臺分屬5家中東地區銀行，有3臺為多家銀行共享的SAA服務器，有一臺為共享SAA的備份服務器。這些服務器操作系統均為Windows Server 2008，安裝了賽門鐵克的端點防護軟件，這些服務器配置了相同的管理員口令。10臺服務器中有9臺為“方程式組織”確定攻陷，其中7臺有相關攻擊日志記錄。這十臺服務器的主機名稱、MAC地址、開放端口、安全防護軟件和版本以及主機管理員用戶名和口令信息，其中3臺SAA服務器上運行的Oracle數據庫的管理用戶名和口令信息，被影子經紀人泄露。詳情如表2-4所示。

表 2-4被攻擊的SAA服務器的詳細信息

2.3.5 被竊取的信息資產信息

        被竊取的信息資產主要有網絡設備和網絡安全設備的登錄憑證、SAA業務服務器中的多家銀行機構業務數據（如賬號名、賬號狀態、密碼）等。根據分析網絡設備和網絡安全設備的配置文件信息，有不少于300個登錄憑證被竊取。表2-5展示了經過屏蔽處理后的部分被竊取信息。從這些信息可以判斷，方程式組織的攻擊目的是獲取部分其感興趣的賬號、密碼，并進一步獲取其資金情況和交易信息、資金流動軌跡等。

表 2-5 被竊取的部分信息資產信息

3、事件中所使用的攻擊裝備情況

---

        “方程式組織”攻擊EastNets行動所使用的攻擊裝備可覆蓋EastNets信息化場景中的多種設備和端點系統，包括網絡邊界的VPN防火墻設備、企業級防火墻設備、管理服務器以及支撐SWIFT業務的SAA服務器等。這些攻擊裝備大致可分為三類：漏洞利用工具和攻擊平臺、持久化工具、控制/后門惡意代碼，全套攻擊裝備擁有覆蓋全平臺全系統的攻擊能力[4]。

3.1 漏洞利用工具和攻擊平臺

        相關漏洞攻擊裝備主要針對網絡設備、防火墻等網絡安全設備和各類端點系統，其主要作用為突破邊界，橫向移動，獲取目標系統的權限，為后續植入持久化、控制載荷開辟通道。其中典型的漏洞攻擊裝備EPICBANANA、EXTRABACON和1個未知裝備是針對防火墻的，本次攻擊中，方程式組織使用了先進的FuzzBunch漏洞利用平臺[11] ，針對Windows系統進行作業（其中包含至少17個漏洞利用插件，本次行動可能使用了其中的5個），詳情見下表：

表 3 1 攻擊EastNets所使用的漏洞利用工具列表

 

        在本次攻擊事件發生時，上述使用的漏洞皆為未公開漏洞。本次攻擊中使用漏洞的總數超過了“震網”攻擊事件（震網攻擊中使用了5個Windows 0day和一個西門子0day漏洞），體現出了超高能力網空威脅行為體充足的攻擊資源儲備。其中的“永恒”系列漏洞利用工具均被裝載于FuzzBunch攻擊平臺。FuzzBunch是一個類似MetaSploit強大的涵蓋大量漏洞攻擊和載荷植入的攻擊平臺，采用行命令方式進行操作，其主要包含掃描探測工具集（Touch）、漏洞利用（Exploit）工具集、植入和配置更新工具、載荷（Payload）模塊。掃描探測模塊用于獲取主機系統和相關服務指紋信息、可攻擊的開放端口，以及確定目標是否存在指定漏洞；漏洞利用工具中至少包括17個漏洞的利用模塊，其中兩個被稱為特別（Specials）漏洞，即永恒之藍和永恒冠軍兩個重量級漏洞——這種標識可能是為保證在使用相關漏洞中是高度慎重的。植入工具中有兩個模塊，分別用于向被攻擊主機輸送攻擊載荷并加載，以及投遞和更新相關配置文件。功能載荷插件集主要用于漏洞模塊攻擊成功后向目標安裝后門、加載DLL、枚舉進程、增刪改查注冊表項、RPC服務等，其建立起了在主機側的遠控操作機制，這些操作符合安天在此前報告中，對其木馬“設計框架化”、“組件積木化”、“操作原子化”的判斷。FuzzBunch平臺的模塊結構如圖 3-1所示。

圖 3 1 FuzzBunch漏洞攻擊平臺的結構拆解

        本次事件中所使用的漏洞攻擊裝備，安天曾在分析報告《安天關于系統化應對NSA網絡軍火裝備的操作手冊》[11]中對這些漏洞攻擊裝備進行過梳理和分析，繪制了漏洞利用關系圖，如圖3-2。

圖 3 2 泄露的NSA網絡軍火裝備的漏洞利用關系圖

3.2 持久化/植入攻擊裝備

        超級網空威脅行為體高度重視在目標場景中形成持久化的能力，研發了大量實現持久化能力的裝備。持久化攻擊裝備通常在突破目標后使用，主要針對BIOS/UEFI、固件、引導扇區、外設等環節，難以發現和處置的深層次加載點，或形成可反復植入的作業機會窗口。在高級持續性威脅（APT）活動中，確保持續性能力。通過持久化提供的加載機會，攻擊者可以保持與目標系統建立初始連接和初步控制權，并進一步輸送復雜攻擊載荷，從而實現對目標的完全控制和管理。此次攻擊中使用了如下持久化裝備：

表 3 2攻擊EastNets所使用的持久化/植入攻擊裝備

 

        其中，FEEDTROUGH[12]是針對Juniper、NetScreen等防火墻進行固件層持久化的攻擊裝備，可以在防火墻啟動時向系統植入載荷，這一技術與該攻擊組織對硬盤固件的持久化思路如出一轍[2]，是更底層的難以檢測和發現的持久化技術。

圖 3 3 ANT-FEEDTROUGH攻擊裝備

        根據斯諾登曝光的相關信息分析，NSA的下屬部門ANT（全稱為“先進網絡技術”或“入侵網絡技術”部門）擁有FEEDTHROUGH的持久化裝備，ANT具有整套持久化裝備，立足于全面覆蓋各種端點系統、外設和接口、無線網絡和GSM蜂窩網絡、主流網絡設備和網絡安全設備等，達成在各種信息場景中實現運載、植入和持久化。安天在早期曾對ANT的攻擊裝備進行過梳理，并形成了ANT的裝備體系圖，如圖3-4。

圖 3 4 ANT裝備體系

3.3 控制/后門類惡意代碼

        此類攻擊裝備是攻擊行動中最終植入到目標系統的載荷，用于持久化或非持久化對目標系統的控制。本次行動攻擊者所使用的攻擊裝備如表3-3所示，其中前7項針對網絡安全設備及網絡設備，最后1項針對Windows主機系統。與持久化工具所追求的建立隱蔽的永久性入口不同，方程式組織在的控制/后門類惡意代碼，更強調內存原子化模塊加載作業，文件不落地，最大程度上減小被發現與提取的可能性。與持久化工具的組合，呈現出“藏于九地之下（固件等深層次未知），動于九天之上（內存）”的特點。

表 3 3攻擊EastNets所使用的控制/后門攻擊裝備

 

        DanderSpritz是其中最典型的控制平臺，擁有嚴密作業過程和豐富規避手段的模塊化攻擊平臺，安天曾在《方程式組織EQUATION DRUG平臺解析》[5]一文中對其進行了全面分析。DanderSpritz擁有界面化的遠程控制平臺，具有復雜的指令體系和控制功能，與傳統RAT程序有著明顯的區別，一旦植入目標系統后會采集系統各類安全配置信息并提示攻擊者哪些配置或信息可能會導致自身被發現或檢測。其payload有多種連接模式，其中“Trigger”模式是一種激活連接模式，既不監聽端口也不向外發出連接，而是通過監聽流量等待攻擊者的激活數據包，這使得控制端的部署變得靈活而難以被封禁。

圖 3 5 DanderSpritz遠程控制裝備界面

        DanderSpritz具有模塊化的架構設計，擁有非常豐富的標準化攻擊工具和插件，是“方程式組織”網絡武器代表。安天在此前分析報告中對“方程式組織”其他的木馬模塊插件進行梳理，整理了這些功能插件在攻擊過程中可能形成的組合，并繪制了“方程式組織”主機作業模塊積木圖。該圖初步展示了一個將主機情報作業按照“原子化”拆分的模塊組合的拼裝，如圖3-6所示：

圖 3 6 “方程式組織”主機作業模塊積木圖

        在“方程式組織”主機作業模塊積木圖中可以看到，“方程式組織”通過模塊化的方式涵蓋了各個攻擊階段使用的武器。而每一個武器又有更細粒度的功能指令，比如創建據點階段的“DoubleFantasy”武器就有分工明確的分支指令（如下圖），不同指令之間相互配合可以完成一系列的操作行為。

圖 3 7 DoubleFantasy指令分支

4、攻擊過程復盤

---

        2012年7月至2013年9月，“方程式組織”使用來自多個不同國家和地區的跳板IP，對EastNets發起了6次網絡攻擊。攻擊者通過先后6條不同的入侵路徑相互配合，針對不同的系統和設備使用了包括“永恒”系列在內的多套攻擊裝備，最終攻陷了位于EastNets網絡中的4臺VPN防火墻設備、2臺企業級防火墻、2臺管理服務器，以及9臺運行多國金融機構業務系統的SAA服務器和FTP服務器以及對外提供的郵件服務器。

圖 4-1 “方程式組織”對EastNets網絡的總體攻擊過程復盤

4.1 總體攻擊過程

        從總體攻擊上看，攻擊者通過來自全球多個區域的跳板機器，使用多個0Day漏洞突破多臺Juniper SSG和CISCO防火墻，然后植入持久化后門，使用“永恒”系列的0Day漏洞控制后續的內網應用服務器、Mgmt Devices(管理服務器) 和SAA服務器。除了突破防火墻，攻擊者還突破了處于外網的郵件服務器，對外網的郵件服務器和同網段內的終端進行了掃描和信息搜集（如安全防護軟件和應用軟件安裝情況）。在部分攻擊過程中，雖然還存在一些諸如未能向終端植入持久化模塊的失敗操作，但通過多次入侵路徑的先后配合，“方程式組織”最終還是完成了對EastNets網絡全球多個區域的銀行機構數據的竊取。

        攻擊跳板：

        本次攻擊所使用的互聯網攻擊跳板，均為被植入PITCHIMPAIR后門的商用Unix、FreeBSD或linux服務器主機，多數來自全球高校和科研機構。這些節點運行更多依靠系統自身的健壯性，和高校、科研機構人員的自我運維，而不像Windows環境一樣，處于始終的高頻對抗之中，反而推動了商用安全產品的保護能力的不斷完善。對于超高能力網空威脅行為體來說，這種在商用安全能力感知之外的節點，反而成為一種理想的建立持久化跳板的目標。同時，由于這些服務器自身位于高校和科研機構，因此其并不簡單的具備跳板價值，其本身也在不同時點會與直接情報獲取活動產生直接關聯，在不同形式和任務角色中，這些節點會被以不同的方式利用。2016年11月影子經紀人曾公開一份遭受入侵的服務器清單，清單的日期顯示2000~2010年間，以亞太地區為主的49個國家的相關教育、科研、運營商等服務器節點遭遇攻擊，受影響的國家包括中國、日本、韓國、西班牙、德國、印度等。如圖4-2。在相關爆料中，亦提及相關服務器可能是Linux、FreeBSD和Solaris。這與方程式組織攻擊EastNets所使用的跳板情況信息，形成了非常好的相互印證。

表 4 1“方程式組織”攻擊EastNets網絡使用的跳板機器

圖 4-2：“方程式組織”在2000~2010年間對全球互聯網節點的入侵可視化復現

        總體攻擊過程如下：

        步驟1：選擇來自日本、德國、哈薩克斯坦和中國臺灣的6臺被入侵服務器作為跳板，利用Juniper ScreenOS軟件的身份認證漏洞（CVE-2015-7755）攻擊EastNets網絡的4個Juniper VPN防火墻，攻擊成功后向目標系統植入FEEDTROUGH持久化攻擊裝備到防火墻中，最后通過FEEDTROUGH向防火墻中植入ZESTYLEAK和BARGLEE兩款后門攻擊裝備，實現對防火墻的完全控制。在其6次攻擊中有2次是直接使用“永恒”系列漏洞攻擊裝備，向位于DMZ區域的郵件服務器進行攻擊，并向內網進行掃描。

        步驟2：利用EPICBANANA或EXTRABACON漏洞攻擊裝備攻擊2臺Cisco企業級防火墻，攻擊成功后向目標系統植入JETPLOW或SCREAMINGPLOW，最后通過JETPLOW或SCREAMINGPLOW向防火墻系統植入BANANAGLEE，實現對防火墻的完全控制。

        步驟3：利用“永恒”系列的0Day漏洞攻擊兩臺管理服務器，攻擊成功后向服務器系統植入DoublePulsar或Darkpulsar，最后再通過DoublePulsar或Darkpulsar向服務器系統植入DanderSpritz平臺生成的后門載荷（DLL），對其進行遠程控制。

        步驟4：以2臺管理服務器為跳板，利用“永恒”系列漏洞攻擊裝備獲取后端的9臺SAA業務服務器的控制權，使用的“永恒”系列漏洞包括ETERNALROMANCE（永恒浪漫）、 ENTERNALCHAMPION（永恒冠軍）、ETERNALSYNERGY（永恒協作）、ETERNALBLUE（永恒之藍）。最后在SAA服務器上執行SQL腳本initial_oracle_exploit.sql和swift_msg_queries_all.sql，對本地Oracle數據庫中存儲的多家銀行機構業務數據（賬號名、賬號狀態、密碼等）進行轉儲。還通過管理服務器對其它區域中的FTP服務器進行攻擊。

4.2 可視化復現

        根據上述總結分析，安天態勢感知平臺可視化組件對攻擊行動的復現演示如圖4-3所示。

圖 4-3 安天態勢感知平臺可視化組件對攻擊行動的復現演示點擊查看攻擊過程

5、網空威脅框架與本次事件的映射分析

---

        以“方程式組織”為代表的超高能力網空威脅行為體，具有龐大的攻擊支撐工程體系、裝備體系和規模化作業團隊等特點，并在這些資源的支撐下，成功執行高度復雜的攻擊活動。如果對類似攻擊組織的分析停留在0day漏洞、惡意代碼等單點環節上，既無助于對其整個過程進行全面的分析，也難以有效地指導防御工作。為應對高能力網空威脅行為體的攻擊活動，安全人員需要有體系化、框架化的威脅分析模型，對其行為展開更深入、系統的分析，理解威脅，進而實現更有效的防御。當前類似的分析模型包括洛克希德?馬丁公司（Lockheed Martin）的Kill Chain（殺傷鏈）和MITRE公司的ATT&CK等。

        Kill Chain由洛克希德?馬丁公司于2011年提出，定義了攻擊者為達到目標必須要完成的7個階段，并認為防御者在任意一個階段打破鏈條，就可以阻止入侵者的攻擊嘗試。Kill Chain將網絡攻擊模型化，有助于指導對網絡攻擊行動的識別和防御，但整體上粒度較粗，全面性不足，相應的應對措施也缺乏細節支撐。為解決上述問題，MITRE公司在Kill Chain的基礎上，提出了ATT&CK模型，即對抗戰術、技術和通用知識庫，將入侵全生命周期期間可能發生的情況劃分為12個階段，分別為初始訪問、執行、權限提升、防御逃避、憑證訪問、發現、橫向移動、收集、命令與控制、滲出和影響，每個階段又細分了具體的攻擊技術。ATT&CK提供了對每一項技術的細節描述、用于監測的方法及緩解措施，有助于安全人員更好地了解網絡面臨的風險并開展防御工作。但ATT&CK側重于具體的攻擊技術，在層次性和對入侵行為的分類方面偏弱。

        NSA和CSS參考各類現有框架，于2018年3月發布了《NSA/CSS技術網空威脅框架》（NSA/CSS Technical Cyber Threat Framework）（以下簡稱“威脅框架”）V1版本，該框架是一個基于國家情報總監（DNI）網空威脅框架開發的、與網空行為活動緊密結合的通用技術詞典，NSA在整個情報體系內共享這一詞典，實現對情報共享、產品研發和作戰規劃的支撐，促進情報體系各機構間更緊密地合作。

        隨著網絡威脅不斷升級，NSA和CSS在“威脅框架”V1的基礎上進行調整和延伸，對其中劃分不細致、歸類不準確的內容進行重新梳理，于2018年11月發布了V2版本。“威脅框架”V2共包含6個階段（Stage）、21個目標（Objective）、188種行為（Action）和若干個關鍵詞（Key Phrases），提供了標準定義，能夠指導討論攻擊者全生命周期內的活動，呈現攻擊事件全貌，可視化攻擊者所使用的策略及手段，協助安全人員制定針對性的防御措施。

        由于“威脅框架”嘗試將各種可能的目標和行為涵蓋在內，其恰恰將其自身和關聯的專屬攻擊能力也涵蓋在內。例如，“方程式組織”覆蓋各種型號硬盤固件持久化能力，“量子”（QUANTUM）攻擊系統修改通信路徑的能力，“湍流”框架下的被動信號收集系統“混亂”（TURMOIL）向中點發送信標、仿冒合法流量的能力等等，都能夠在“威脅框架”中得到映射，體現出其體系化、復雜化的網空攻擊能力。因此，“威脅框架”對于梳理來自超高能力網空威脅行為體的網空攻擊活動來說，就成為了非常有效的方法框架體系。

圖 5 1 NSA/CSS技術網空威脅框架

        安天以“威脅框架”V2為參考，對超高能力網空威脅行為體攻擊行動的各階段行為進行標準化描述和分類，協助分析這些行為體的意圖和行為，為相關防御工作的開展提供借鑒。

        通過本次事件的復盤分析，可將該事件中涉及的威脅行為映射到“威脅框架”V2中。攻擊者基于長期環境準備，在多個國家或地區建立大量跳板機資源，可以隨時選擇發起攻擊，利用ZESTYLEAK、BARGLEE、BANANAGLEE攻擊裝備打擊防火墻，獲得防火墻權限，實現對設備的控制并管理服務器。利用“永恒”系列漏洞獲取服務器控制權后在其上執行sql腳本，查詢與服務器相連的Oracle數據庫中的信息，獲取憑證以及內部架構信息。利用已獲取的憑證對相關Windows的主機和服務器實現遠程登陸，橫向移動到不同的辦公地點主機繼續收集相關用戶憑證。最后，采用數據加密等規避手段防止受害者發現威脅。這些行動都能夠與“威脅框架”的類別與動作建立映射。

圖 5 2 本次事件映射到威脅框架

        這一攻擊事件共涉及15個目標中的47種行為，其中包括推測的和確定執行的行為。經過分析，確定使用的行為如下：

偵察：收集憑證、測繪可訪問網絡、掃描設備；

環境預制：應用數據文件中添加可利用點、建立跳板、預置載荷；

投遞：利用受感染主機；

利用：利用固件漏洞、利用本地應用程序漏洞、利用操作系統漏洞、利用遠程應用程序漏洞、利用零日漏洞；

執行：通過服務控制器執行、利用解釋腳本、利用系統接口、寫入磁盤；

內部偵察：枚舉賬號和權限、枚舉文件系統、枚舉操作系統和軟件、枚舉進程、測繪可訪問網絡、嗅探網絡；

提權：利用操作系統漏洞；

憑證訪問：定位憑證；

橫向移動：遠程登錄、利用遠程服務、寫入遠程文件共享；

滲出：從本地系統收集、從網絡資源收集、壓縮數據；

命令與控制：中繼通信；

規避：規避數據大小限制、加密數據、操縱受信進程、仿冒合法流量、使用rootkit、將文件存儲在非常規的位置、根據環境調整行為。

        同時，對于進行這種復雜、嚴密、動用大量網空攻擊裝備資源的攻擊，必然有系統的前期準備工作，包括規劃統籌、確定目標、選擇攻擊裝備（也可能包括為現有攻擊裝備不覆蓋的IT場景臨時研發裝備）等。

6、事件總結

---

        基于對被攻擊資產情況、所使用攻擊裝備和攻擊過程的復盤梳理，這份報告基本呈現出了整體的攻擊全貌。從時間發生的2012~2013年的背景來看，被攻擊目標的布防情況，總體體現出在那個時代信息資產的布防特點，部署了包括VPN、防火墻、主機殺毒等基礎安全環節，對內部資產做了基本的分區，進行了一定的配置加固等等。這些防護手段是建立起網絡防御體系的基本工作，對于防范一般性的網絡攻擊是有效的，但對于防護超高能力網空威脅行為體則是完全不足的。

        同時，通過相關泄露的資料，也可以看到系統管理者存在一些非常明顯的配置和安全策略失誤。例如，同組的多臺服務器采用相同的超級用戶口令，導致一旦其中一臺的口令被提取還原或嗅探，就可以被連鎖突破；不同組的服務器口令存在明顯的“公共部分+序號”的可猜測規律；防火墻沒有對可以訪問管理接口的IP地址作出明確的限定策略等。

        但建立起能夠有效防御高級網空威脅行為體的防御體系，并不是簡單的查缺補漏，而是一個復雜艱巨的過程：

        （1） 必須直面開放式場景和信息系統規模增長帶來的安全挑戰，全面提升網絡安全規劃能力，落實全生命周期的安全規劃建設運維。傳統銀行系統依靠物理安全隔離保障自身資產的時代早已過去，隨著跨行轉賬、通存通兌，類似SWIFT等服務就必然成為在公網上可以到達的基礎設施。必須立足于開放式場景的現實條件、信息系統規模日趨擴大和復雜度日趨增加的前提，信息系統的開放度越高，規模越龐大，就越需要在規劃、建設和運維的全生命周期同步提升網絡安全整體能力，就越需要系統全面的安全規劃。

        （2） 重要信息資產和規模性信息資產，需要以“敵已在內，敵將在內”作為客觀敵情設定。鑒于當前信息系統的規模、供應鏈的復雜程度以及各類信息交換的必然性，將威脅阻擋在邊界（安全網關或網閘）之外已經是一種高度不現實的想象。對于掌握大量突破隔離網絡裝備、可以滲透配送物流環節、可以進行上游供應鏈預置作業的超級網空威脅行為體來說，其既可能從網絡邊界逐層突破，也可能借助其他作業手段直接建立內部橋頭堡。因此，對于關鍵基礎設施和重要信息系統，必須將“敵已在內”和“敵將在內”作為最基礎的敵情設定。安天在2017年提出了“有效的敵情想定是做好網絡安全防御工作的前提”的觀點，這是源于軍事演習的防御思考，但在過去兩年的理念的不斷推動實踐中，我們日趨感到網絡空間所面臨的風險，比演習想定更為嚴峻。敵將在內，可以作為一種想定，指導“防患于未然”的規劃。而敵已在內，則已經構成了“現實戰情”，需要具備將威脅行為體“找出來，趕出去”的威脅獵殺能力。

        （3） 參考的“威脅框架”，更新對威脅行為體和攻擊活動的系統性認知，以深化和完善敵情設定，進而改善防御。網絡防御者必須直面高級網空威脅行為體，掌握著大量高級裝備和攻擊資源，其行動是復雜過程組合的既定事實，同時復雜的過程并不必然均由“高級”攻擊手段和“高級”裝備支撐。一方面，一些低級的配置錯誤和未及時修補的漏洞會成為威脅行為體進入的入口；另一方面，高級網空威脅行為體也會劫持和利用低級網空威脅行為體所掌控的僵尸網絡等資源。將安全防護工作視為對各種威脅類型如惡意代碼、DDoS、網站篡改和僵尸網絡等的一一應對，進行產品堆砌，顯然不能組合起有效防御體系。而從威脅框架出發，針對威脅每個階段、逐個行為推演，無論對評估當前防御體系及相關安全產品能力的有效性和合理性，還是對形成體系化的防御規劃與建設目標，都是一種有益的工作。

        （4） 任何單點環節均可能失陷或失效，包括網絡安全環節本身。在復盤過程中可以看到，雖然整個SWIFT系統是使用了兩層防火墻來構建防護，但由于攻擊者基本上為所有的主流IT設備場景，包括各種主流防火墻，都針對性開發了適配性的攻擊裝備，所以說任何單點環節均可能失陷或失效，包括網絡安全環節本身。防火墻是一種必備的網絡安全設備，如為重要邊界安全設備配套類似安天探海等全流量監測和記錄設備，再通過單向網閘將數據結果擺渡到內部，供態勢感知平臺進行深度分析，就是一種行之有效的方式。其不僅可以彌補防火墻設備要求效率而帶來的檢測深度不足，進一步提升邊界防御能力，而且也能夠將對防火墻的攻擊流量記錄留存，為后續可能的威脅發現、取證、溯源、獵殺等工作提供必要基礎。

        （5） 在敵情設定下，可以看到，高級網空威脅攻擊者所使用的攻擊裝備有極大可能是“未知”的，這種未知是指在局部或全局條件下，攻擊裝備對于防御方及其維護支撐力量（如網絡安全廠商）來說，是一個尚未獲取或至少不能辨識的威脅。但如果對已知威脅都不能進行有效防御，那么對于超高能力威脅行為體的防御就更加難以實現。我們看到，類似攻擊EastNets所使用的漏洞利用工具在被分析報告揭示后，這些工具都成為了“已知威脅”，而被更低級別的攻擊者所廣泛利用，形成了更大面積的影響和損害。有效的防御這些威脅就是必須的基礎能力。對于未知威脅無法杜絕其首次突破防御的可能，因而應該通過合理的防御體系來控制其活動的影響范圍，限制其橫向移動的能力。由于未知威脅可能導致原有檢測能力不能對攻擊者實現留痕，所以需要更全面的數據采集能力和基于失效設計的防御縱深。同時在與威脅對抗的過程中，能夠對海量已知威脅事件進行精準的檢測也是必不可少的能力需要。

        （6） 建立“體系化的防御”才能應對“體系化的攻擊”。在高級網空威脅行為體開展體系化攻擊的情況下，僅僅進行單點或簡單的多點防護，并不足以形成有效的防御體系。必須將單點對抗轉化為體系對抗，將產品機械堆砌轉化為能力有機融合。安天在國際網絡安全研究機構SANS所提出的“滑動標尺”模型[16]的基礎上，與國內多家能力型廠商共同約定為基礎模型后進行了延伸拓展，提出了疊加演進的網絡空間安全能力模型，將網空安全能力分為五大方面，其中基礎結構安全、縱深防御、態勢感知與積極防御、威脅情報四大方面的能力都是完善的網絡安全防御體系所必需的。將防護目標所處的物理環境、通信網絡、計算環境、應用和數據等技術層次與疊加演進的模型有效關聯融合，能夠迅速的找到所需的安全舉措。在可管理性有保障的基礎上、結合合理的防御縱深，態勢感知與積極防御才能夠發揮相應的作用，協同指揮部署的安全產品。威脅情報的價值才得以最大化。對抗高級網空威脅行為體，必須在態勢感知與積極防御以及威脅情報方面進行系統的建設與投入，但同時這種投入的有效性又依賴于基礎結構安全和縱深防御的支撐。需要看到態勢感知與積極防御和威脅情報都是需要高成本投入的，這符合安全對抗既是體系對抗也是成本對抗的特點。

        （7） 態勢感知必須面對戰術響應，才能夠應對高速多變的網空威脅。不能停留在對“宏觀態勢”的“把握掌控”和策略調整，基于PDCA循環的信息安全生命周期也無法抵御快速發生的攻擊行動。此次行動的攻擊裝備和相關技術動作都具備極高的隱蔽性，其既不會觸發防火墻、入侵檢測和主機殺毒軟件的相關告警，也不會帶來明顯的流量異常和突變，其相關的橫向移動、控制與竊取操作混雜在系統正常流量當中。及時發現這種微觀細節的差異，并快速針對該事件進行檢測、理解、決策制定和行動執行，從而實現抵御攻擊、進行恢復乃至實施反制是積極防御的目標。這種態勢感知體系，不是簡單宏觀層面的監測+大屏，而是復雜的戰術型態勢感知平臺體系。參見安天與業內專家共同翻譯的《網絡空間安全防御與態勢感知》[17]一書及譯者序內容。

        （8） 保障重要信息資產和規模性信息資產安全，必須建立起實戰化運行機制。 “體系化的防御”不僅僅是體系化的安全產品部署，“態勢感知”也不僅僅是機器的態勢感知。要發揮體系的作用，需要建立完備的安全運行流程，落實安全運行相關角色與職責，制定和完善配套的安全運行規范流程。態勢感知與積極防御方面的能力無法脫離人的參與，也就更依賴于實戰化的運行機制，安全廠商提供的安全產品必須滿足實戰化運行的要求。盡管在基礎結構安全和縱深防御方面部署的安全舉措多數都是無需人參與即可生效的，但也需要人進行更新、維護和審計等相關工作，這些工作的及時和持續是保障安全措施有效的基礎。對報告中曝光的威脅，更可以通過及時的更新將潛在影響減小到最低。

        （9） 最后，也是最重要的一點，超高能力網空威脅行為體并非是無法應對的。既要對超高能力網空威脅行為體的能力有充分的認識，又要避免將其神化從而導致防御的虛無主義。以同批次攻擊事件為例，方程式組織在本報告復盤分析的“JEEPFLEA_MARKET”行動中展示了超級攻擊能力，但在被曝光的另一起針對EastNets在拉美和加勒比地區的合作伙伴BCG的攻擊行動“JEEPFLEA_POWDER”則未獲成功。對高級網空威脅，從防御到獵殺，當然不能基于撞大運式的偶然，不能寄希望于超高能力網空威脅行為體的高抬貴手。我們需要堅定與之斗爭的信念，要清晰的認識到與應對敵情所需的防御能力之間的差距，堅定投入的信心和決心，做好長期、持續和扎實的基礎工作。

        但可以確定的一點是，我們從今天開始努力，就比從明天開始，早一天到達目標。

        分析團隊補記：

        這是一份經歷了多次修訂和完善的報告，在相關復盤分析過程中，我們感受到了一種巨大的壓力和焦灼。面對超高能力網空威脅行為體在2012~2013年的攻擊能力，深感建立起對這樣的攻擊者的防御能力是非常艱巨的工作。同時，我們也非常擔心超高能力網空威脅行為體無節制的提升攻擊能力，將使網絡空間武器化成為一種洶涌的逆流。

        報告發布日，正是6月1日國際兒童節，我們突然想到世界兒童和平條約中向世界發出的呼聲：

        我們，全世界的兒童，向世界宣告，未來的世界應該和平。

        我們要一個沒有戰爭和武器的星球……

參考鏈接

---

附表一：安天對網空威脅行為體的能力分級

---