二战早期,英国人首先发明了雷达。这直接帮助英国在不列颠空战中打退了德国。雷达的功能是“看见”,防止敌机偷袭。如果没有雷达,就要派出战斗机前进到至少二百公里以外的地方巡逻。
雷达的缺点在于难以辐射地面。敌方战斗机可以贴地飞行而不被发现。二战后期美国人造出了预警机,弥补了雷达这个缺点。预警机升空,可以无死角把几百公里内的空域监视住。一旦敌机来袭,可以为后方提供反应时间。
90年代海湾战争,中国开始意识到预警机的关键作用。把预警机的研发提到登月和核武同等重要的位置。现在,全球最先进的预警机技术掌握在美、俄、中手里。
近一年的周鸿祎,孜孜不倦的推广一个理念,“网络战争已经悄无声息发生在我们身边”。前天在乌镇推介了“全视之眼”。这就是网战中的“预警机”,可以“看见”网络攻击,并启动应对。
周鸿祎一直说。网战中,看见是1,其他都是0。看不见,堆再多武器都是白瞎。
09年,伊朗纳坦兹核燃料浓缩工厂的科学家们苦思冥想几个月,仍然束手无措。他们用试验排除了由机电故障引发的可能性,还将工厂的离心机数量翻倍。但浓缩铀的产量仍然停滞不前,甚至每况愈下。
最后,他们在一台装有控制软件的电脑上发现了带有恶意软件的U盘。这包括了两个事实。一是有内部人被买通,插上了这个U盘。一是外来的攻击瘫痪了系统。病毒最终导致1000台铀浓缩离心机废弃,直接摧毁了伊朗“核计划”。
一国的兴衰强弱,竟然就系在这一个U盘上了。
后来伊朗人知道了,一个名为震网的秘密软件一直在暗中干扰。震网的出现,标志着具有“超级破坏性”的网络武器登上人类的历史舞台。人们惊惶地发现,虚拟世界的网络攻击可以摧毁现实中的钢铁机器。
攻击之所以能得逞,与“0day漏洞”息息相关。0day漏洞,就是还没有发现的漏洞,还没有补丁可以升级以封杀的漏洞。相当于你的盔甲上有一块破洞,你自己不知道,但对手知道。
震网设计者精心构置了微软操作系统中4个在野0day漏洞,并和工控系统的在野0day漏洞进行组合,实现了精准打击、定向破坏。
震网之后,APT(高级持续性攻击)组织开始浮出水面。他们利用最先进的攻击手段对特定目标进行长期持续性网络攻击,其背后往往是国家级的“网军”。这几年360累计发现40个APT组织,其攻击涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施行业。
0day漏洞颇受APT组织青睐。因为它不可预知,所以极难防御。2018年11月25日,乌俄两国突发“刻赤海峡”事件。4天后,360安全大脑第一时间发现了一起针对俄罗斯的APT攻击。其相关样本来源于乌克兰,攻击目标指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者利用了常用软件Flash的 0day漏洞。
可怕在于,0day漏洞“无处不在”。它可能隐藏在任何一个稍有规模的软件系统中。一般平均每一千行代码中就存在着4-6个漏洞。当下万物互联时代,各类基础设施联网后,漏洞的危害也随之闯入“物理世界”。
2015年圣诞节期间,乌克兰国家电力部门受到APT组织的猛烈攻击。乌克兰西部140万居民在严寒中遭遇了大停电,城市陷入恐慌,损失惨重。2019年委内瑞拉遭遇全球最大规模的“断电袭击”,停水停电、地铁停摆、电信服务、网络接入服务中断。
“看不见的才是最可怕的”。这就是0day的真正威胁。
铺垫完了。现在来介绍360的预警机,“全视之眼”。就是它来负责“看见”。
思路一。0day漏洞无处不在,那要“看见”所有0day漏洞几乎不可能,也无必要。既然如此,那要看见什么呢。是的,看见攻击。“凡走过,必留下痕迹。”任何攻击都会留下痕迹。
思路二。攻击分为三个阶段。漏洞的触发、利用、扫尾。比如,因为某种原因而发生越界访问的这一刻,或者释放内存后再次去使用这个已释放内存的时刻,就是触发时刻。接下来,通过精心设计的数据,比如利用漏洞改变了控制流过,或者修改了系统关键数据,这就是利用阶段。最后,植入并持久化的工作。在这三个阶段都难免伴随着一系列的异常行为。要看见的就是这些异常行为。
