顶级黑客揭秘：美国国家安全局的绝密网络武器技术及情报｜ISC2019

郑文彬，人称“MJ0011（马甲）” ，360 集团首席安全技术官，在网络安全领域从业超过 14 年。2014 年，MJ 创立 360 伏尔甘团队。国家信息安全漏洞库的特聘专家，国家网络安全应用人才。

以下是MJ在ISC 2019 上的演讲报告全文：

360 很大的优势，拥有全网的安全数据海。应对网络安全（网络战）时，AI技术不能替代100%人的工作。我们说出这句话，因为 360 内部对 AI 等技术的应用有很久的历史，超过十年的历史，非常熟练地把这些技术在安全领域应用，有很多安全积累。终端威胁和高级漏洞的侦测，零日漏洞的积累，针对APT高级威胁情报和追踪有积累。

NSA网络武器的背景

提到NSA（美国国家安全局）网络武器，很多人会想两个事件。2013年爱德华斯诺登泄漏了网络武器的文档。2016年、2017年影子经纪人公开了 NSA 应用了过时的网络武器的样本。卡巴演讲者提到冰川法则，体积为 V 的冰川，海下肯定还有 10 倍以上的体积。除了斯诺登公开的内容以外，在海面之上，NSA 的网络武器库是更庞大的内容。开始想讲很多 NSA 网络武器的内容，但有几个考虑，很多人会觉得陌生，尤其提到很多大家都不知道的代号。我觉得还是需要系统性地介绍 NSA 网络武器对已有情报的了解。其实在追踪 NSA 网络武器有很久的历史，还是希望能够多保留一些自己追踪他们积累的特别情报渠道，经过讨论决定演讲的内容变成这样，我会介绍一些相关背景及部分掌握的 NSA 网络武器的内容（雷锋网注：在8月19日雷锋网等媒体对周鸿祎的采访中，周曾提到，MJ 的演讲中有相当多的机密渠道分享内容被删除，因为“他担心马甲的安全”）。

美国情报机构分工

美国情报机构获取情报会有不同的团队，基于人的情报获取这条路径大家很熟悉，他们也会利用一些网络武器及网络攻击的程序，主要就是获取与人相关的情报。NSA致力于电子情报，电子情报非常重要，过去70年发挥很大的功效。电子情报（SIGINT）一直致力于全世界单独雇用数学博士和计算机博士，还有语言专家最多的机构。SIGINT每年独立经费每年100亿元，用于全球网络武器和网络攻击能力与防护能力的布局。网络战是超限战，对情报获取及网络攻击能力的布局上是不惜成本，不在乎用什么手段，不只是使用技术的手段，可能线下会收买。2013年斯诺登情报公开文档让大家非常震惊。

美国网战司令部的作战方案（USCYBERCOM）

这是斯诺登泄漏的文档，关于美国网战司令部的布局图案。

CNO是指计算机和网络行动。CND、CNA、CNE，CND就是与防御相关的，CNA与攻击相关，CNE与其它的组织独立。分三部分，第一级别是完全自动化地攻击，第二级别需要交互的，第三级别是需要人赋能，需要线下或者物理接触，甚至需要分不同的阶段进行复杂的攻击行动。CNE上面有一个TAO，这是精密访问操作部。TAO 红色部分的组织是重要的，ROC核心网战能力输出的部门，也会执行一些具体的网络攻击的行为。ATO核心技术和能力研发部门，负责攻击代码的研发和漏洞的研发，基于固件和硬件漏洞的发现和研究的团队，主要是输出一些核心的技术和能力。ROC可能会承接很多美国其它情报机构或者是网军的任务。

TAO从2007年开始发展。2007年人数少，只有接近60人。2015年规划到最后会有270人，技术、分析员和部门负责人。办公地点也是很小，很小的房间。未来TAO部门的场地规划是 3500 平方英尺，还有就是 9500 平方英尺，就是四亩地和八亩地，很小的区域。后面 TAO 部门发展壮大很多，但可以看到2006年、2007年是很小的部门，但它有非常优秀的结果。根据其攻击数据和结果，2007年，它针对6000多个目标进行攻击，2008年针对9000多个目标进行攻击。还有就是基于0day漏洞的攻击平台，2007年发出2000多个攻击，2008年发出3000多个攻击，2007年成功一百多个攻击，2008年成功200多个，针对的目标就是伊拉克跟阿富汗。

TAO网络武器，很多人看到斯诺登泄漏新闻的时候会注意到一个名字，QUANTUM，QUANTUM和量子计算没有什么关系。这是对一系列主动和被主动式的总称，对手流量里插入一些想要插入的恶意流量，以及QUANTUM量子饼干，以及QUANTUM量子短剑的平台，QQ也被列入目标。

2010年，TAO使用QUANTUM成功拿下300个目标，这是之前TAO用其它方法都搞不定的目标。简单从高层介绍QUANTUM是怎么工作的，目标想访问雅虎或者是谷歌这样的网战时会通过在骨干网络的流量劫持插入一些想要的恶意软件，让目标用户访问。访问以后，在访问流量里带上一些零漏洞的攻击代码，最终拿下攻击的目标。

大家知道中间人的攻击，MtoS，不需要真正劫持中间人的流量，而是在封包里插入一些新的包，可以更好地利用电子监控与骨干网流量劫持的能力，可以更好，更低延时地劫持一些流量。斯诺登泄漏关于Man on the Side的图，这在建立了很著名的电子监控站。

FOXACID是可以翻译成酸狐狸，这是0day漏洞攻击平台。通过劫持流量，钓鱼邮件或者XSS植入攻击代码，获得目标系统控制权。作者画了漫画，它最早是美国在用于对抗基地组织行动的名字，后来就逐渐地被用于0day漏洞攻击平台的名字。

WALIDATOR，这是初始化验证的轻量级的后门。这后门有一些初步的功能，可以获取目标系统的初步信息，系统配置的信息，也可以搜集目标系统的文件上传，下载一些文件。主要还是用FOXACID来验证，因为进行比较宽泛的攻击，需要VALIDATOR帮它验证这个目标最终是不是需要攻击的目标。如果最后觉得这是我需要攻击的目标，就会通过VALIDATOR进一步地安装一些更加高复杂的后门。

欧林巴司和联合耙，特点就是高度的复杂与插件化，具备高度隐藏性，可以利用一些固件劫持的技术进行深度的持久驻留。现在已经是很常见的技术，Fileless，无真正的恶意文件落地，可以收集目标系统的信息。攻击了一台管理员的电脑或者是攻击普通员工的电脑，可以基于复杂木马进行深入地内网渗透与进一步的横向移动。TAO的服务器拓扑图，欧林巴斯的服务器，它是NSA用的比较早的网络武器，主要是用于收集目标的文件。2017年有一个工作手册，解释了简单的工作原理和模块的分布。

网络武器怎样植入

典型的模式是劫持用户的流量，通过网络武器与设施劫持用户的流量，然后插入恶意流量，最后触发 FOXACID零日漏洞平台的攻击，最终获取用户的电脑控制权。

追踪 NSA 网络武器的情报及技术。

很久以前就追踪 NSA 的网络武器，震网发生的时候，其实 NSA 的网络武器被曝光出来。通过安全数据在国内发现时，发现震网的网络武器不光在伊朗、以色列这样的地方传播。在国内已经有很多单位受到震网的攻击，2015年，卡巴斯基公布了对震网的发现，这与我们有很强的相关性。2015年对FOXACID的追踪有很多的积累。斯诺登泄漏的关于 FOXACID的技术文档，WAILDATOR，根据服务器进行命名的规则。针对不同国家和区域的目标， FOXACID有不同的服务器的配置，因为需要很快的速度响应攻击目标的请求。以亚太为目标，会有亚太的服务器，针对欧洲的目标有欧洲的服务器，针对俄罗斯会有俄罗斯的服务器。 FOXACID一般命名就是 FOXACID00-一个编号，后面有一个iD，这是依次递增的方式。不同的攻击手段，不同的地域会有不同的编号。我们在国内捕获不同的 FOXACID名字，6401、6103、6230、6240都是分布比较多的。右边的图也是斯诺登之前泄漏的文档，关于整个 FOXACID服务器编号对应的目的跟区域的分布图。A就是亚太，6401是红色的部分，专门针对中国的一台服务器，有不同的攻击方式，垃圾邮件的方式或者是中间人劫持的方式进行攻击。右边泄漏的图有非常有意思的现象，序号是往下来的，捕获过程中6230跟6240是捕获比较多的内容，我们在斯诺登的文档里看不到这部分的内容，没有确切地说这是针对怎样的攻击方式。

国内受影响地域的分布图，比较符合情况。北京是受影响最多的，陕西、四川、江苏、上海、辽宁都是受影响会比较多的地域。国内受影响的领域分布图，航天航空、天文、金融、经济、银行、贸易、高等院校（大学及教育机构），工程物理、高等物理与核物理的研究所也是重点的攻击目标。中科院研究所以及通信基础设施，规划部门，计算机信息技术，军事及政府的部门都是NSA重点关注的受攻击目标。可能东西方文化差异的问题，不管是美国还是欧洲很乐意发现揭露APT攻击的事件。国内很乐意分享，但国内可能有文化差异的问题，很多机构及单位不愿意披露，不鼓励针对他们的攻击行为。未来网络战很多是不宣而战的，如果没有及时地看见公开这样的行为，如果想藏匿这样的行为很困难。

Payload ID差值分析法，第一次攻击001，第二次攻击002，我们进行保守算法，算到每一个服务器捕获最小的ID值跟捕获最大的Payload ID值最保守的被攻击的次数。

UNITEDRAKE，主要的目标是巴西、俄罗斯、中国。这些国家的情报收集，也包括金融方面的攻击，很多的使用UNITEDRAKE。KillSuit是基于固件或者引导区感染的一套恶意程序框架。有一个SOLARTIME组建，获取系统热启动的控制权，然后会加载内核组件和用户态的组件。它会加载后门程序的插件，UNITEDRAKE有很多复杂的程序，也是一个木马的框架。UNITEDRAKE会有一个内核级的网络通信组件，可以说看网络包，也可以在内核态直接发包，可以绕过一些本地的个人防火墙和网络监控，直接地在内核态与服务器进行通讯。核心负责一些框架，会支持固件感染的插件，然后进行访问，加载插件实现最终木马的功能。

KillSuit 是持久化和权限维持的框架，它通过固件感染的方式获得系统启动的控制权，加载内核模块。所有的文件全部都是存放在注册表里的，通过虚拟文件系统进行管理，实现无文件的加载。同时，对程序有加密的保护。UNITEDRAKE的组件，UNITEDRAKE的核心就是负责核心的通讯与控制。KillSuit实现内核的启动和加载。UNITEDRAKE的插件里实现很多附加的功能，文件与进程的访问，系统基本信息的获取和深度信息的获取，包括内网探测的功能，包括虚拟文件的功能。绕过一些网络防护的机制，有浏览器深度信息的获取模块。深度信息收集插件也与斯诺登泄漏的NSA文档匹配，这是产品的说明文档，提到了WISTFULTOLL的工具，里面的浏览器和用户信息深度获取的插件。我们发现UNITEDRAKE是与NSA网络武器有很强的印证关系。

跟踪 UNITEDRAKE 的时候，卡巴斯基喜欢用自己的改造，很喜欢跟着全球最新的算法研究成果。UNITEDRAKE里常见的算法就是LCG（线性同余法），编译器也会利用这种算法。两个比较重要的元素，A、C。1966是一个编译器默认值，UNITEDRAKE在使用LCG计算法的时候有自己定义的值。6033是安天分析GrayFish时NSA网络武器的组件。1B0F也是我们发现的UNITEDRAKE值。

我们对斯诺登泄漏的文档一直在进行深度的分析和研究，我们一直关心 NSA 如何看待 TAO 的安全公司。技术可以感染硬盘固件程序，IRATEMONK，可以感染西数、希捷、迈拓、三星、松下，使得恶意程序持久的驻留，格式化也没有办法清楚。他们专门用于研发持久化驻留的技术，IRATEMONK技术，其中之一的技术就是粉碎机。文档里提到，现在的问题是没有办法跟360共存，会被360对抗掉。现在需要找到解决方案，很可能就是需要完全地重构技术体系。

我们是 TAO 唯一困扰的安全公司，我们有360安全大脑，是非常核心的是针对360高级威胁的对抗平台，ATIP。集成针对高级威胁情报的预测与预警的功能，包括针对未知的高级工具的探测和实时防护的功能。

＃问答＃ 1.你今天演讲的很多资料是从斯诺登泄露出来的内容，这些年他们有没有演化和变化趋势？

MJ（郑文彬）：这是一个公开的演讲，我在一开始议题也讲到，今天这个议题讲的是冰山下面讲一点点，冰山上面还讲多一点点，我前面把冰山上面的，通过对它的了解，更系统化地讲讲，网络武器里都是什么样的部门，是怎么样操作和运作的，都有什么网络武器。首先，所有这些文档都是以前做的文档，Blog也是2015年之前的，2015年之后，NSA肯定会有很大的发展，这么久的追踪，我们除了NSA之外，也追踪了国外其他组织，固有框架完全抛弃是蛮难的，他们还会有部分框架去升级迭代，还会有新的网络武器发现。今天讲到一些比较新的，我们公布的统计数据都是最新的数据。

2.今天老周提到你们又要做企业安全，安全大脑里重要一部分是高级技术人员部分，我关心的是您负责的技术线下面的所有技术人员怎么为安全大脑和企业安全做支撑？

MJ（郑文彬）：我们团队一直在做的网络安全大脑里核心的事情，比如高级威胁对抗，漏洞的发现，我的演讲中也讲到WannaCry里有集成APT、漏洞方面的能力，我们为国家、政府、企业做好这些事情，比如通过Vulcan团队的技术，以及这些技术延伸出来的产品都会去做。

后面再看广告吧。

对企业安全业务支撑的部分，我们会有相应的产品。今天老周正式宣布企业安全业务成立，今年会探讨很多新的产品、服务出来，这是 360 三个比较大的核心能力，一是大数据，二是网络安全专家，三是我们在知识库和情报方面的能力。这些能够都是比较虚的能力，最后会落后到企业安全的产品和服务商。

（雷锋网注：在采访环节结束后，在雷锋网编辑的追问中，MJ称，今年下半年可能会有相关产品公布）

3.美国目前对网络武器储备是个什么状况？包括漏洞购买的情况，有没有相关的举措？

MJ（郑文彬）：美国这在方面一直有很多动作，去年通过一个法案，对于美国境内发现的安全漏洞会报告这样的机构，国家有个决策机构来决定，如果这个漏洞可以作为网络攻击武器，公民就有义务把漏洞交给国家使用，有类似的法案。不管在网络武器，是漏洞还是高级攻击，比如感染部件的不是漏洞，也是有很大的威力，网络武器攻击的工具，网络上劫持的积累一直是有在布局的，2006年甚至更早他们就有很深入的布局和这方面的投入，这个投入肯定是越来越大，一开始NSA，后面美国网站司令部（USCYBERCOM）成立，他们后来有攻击、利用和防御部门，美国在这块的投入肯定会越来越大。

6.你加入 360 后，与 360 一起经历了怎样的变化，现在是什么想法？

MJ（郑文彬）：我个人来说，有一点中年危机，我是 19 岁加入 360，最开始是个技术人员，360 核心安全产品是我设计的，到后来做企业安全研究工作，本身一线技术研发，安全是个连续化的工作，很强的技术人员都是 20 岁出头，达到他们巅峰的水平。随着年龄增长，精力的投入是有所减弱，经验和对全局技术把控，相当于中年网络安全工程师。我们 Vulcan 团队的 leader 实际年龄比我大，35岁，他也会面临这样的问题，但 Vulcan 团队一开始是3-4个人，现在已经发展到20多人，从职业规划来说，是网络安全工程师未来比较好的发展方向。360经历了不同的阶段，2006年，我们做反毒软件，后面做免费杀毒，再到后面我们做物联网安全、网络设备安全到最近几年老周一直在提网络战的概念，是 360一直不断发现的，意识到自己的使命，360 的核心一直在做网络安全技术和研究，希望通过我们用技术方式保护更多想要保护的对象，一开始受到软件影响的用户，到后面主要是保护消费者、普通用户、普通个人电脑避免受到病毒木马，生活和工作、学习的影响；一直到最近这几年，随着国际形势变化，确实网络攻击在国与国的竞争里会有很大的影响力，希望把我们的技术、能力应用到这块，替国内企业政府解决这样的网络安全问题，不是去卖什么东西，而是确实能解决问题。