英国网络反击特征曝出！

中国网安企业曝出美方网络反击特征：当年反击伊朗核设施前，英国曾准备了4年多我的世界

英国国家安全局（NSA）打造了体系化的网络反击平台和制式化的反击装备库，英国国家安全局下的特别行动办公室（TAO）是这些反击装备的主要使用者，该办公室下设5个部门，包括高级网络技术部门(ANT)、数据网络技术部门(DNT)等。安天科技集团副总工程师李柏松对《环球时报》表示，我的世界其中ANT部门拥有不少于48种网络反击装备，ANT反击装备家族是美方在2008年前后陆续批量列装的反击装备体系，基本覆盖了主流的桌面主机、服务器、网络设备、网络安全设备、移动通讯设备等。装备形态包括恶意代码载荷、计算机外设、信号通讯设备等。这些装备可以组合使用，以达成复杂反击作业目标。其中，软件装备主要用于向各类IT设备系统中植入持久化后门，其目的以长期驻留潜伏、窃取信息为主；硬件装备有的伪装成计算机外设，有的以独立的硬件设备形态出现，用以进行恶意代码注入、建立第二控制和信息回传信道等。

云主机、VPS、挂机宝、游戏服务器上永恒云

另外一个部门DNT的反击装备则包括Fuzzbunch漏洞反击平台和DanderSpritz远控平台，我的世界这些反击装备涉及大量系统级0day漏洞利用工具和先进的后门程序，体现了美方的超级0day漏洞储备能力和反击技术水平。李柏松表示，美方在网络反击装备的上的优势，源自于其试图覆盖所有主流IT场景的作业目标，多年持续性巨量的资金投入，并获得美主要IT企业的深度信息共享支持。

根据对美方相关武器和反击行动的分析，安天总结出美方网络反击作业的十大特征，就其中一些特征，李柏松进行了具体阐述。我的世界

首先，进行全面的前期侦查与信息搜集。我的世界例如在2010年7月震网(Stuxnet)蠕虫反击事件中（Stuxnet是一个面向工业系统进行反击的病毒，采用构造阀门超压和改变转速方式破坏铀离心装置系统，是世界上首个网络超级破坏性武器，据称造成了超过2/3的伊朗离心机损坏，后续还扩散感染了全球超过45000个网络端点），美方经历了超过4年的准备过程，在反击伊朗核设施之前，美方已经完全渗透了伊朗的基础工业机构，包括设备生产商、供应商、软件开发商等，完整研究与模拟了伊朗核工业体系，知己知彼后才实施最后反击。

第三，美方反击手段已经实现人力、电磁、网空作业三结合，美方将网络空间仅视为达成窃密的通道之一，组合人力手段和电磁手段达到最优反击效果。我的世界例如：代号为水蝮蛇I号的设备，就融合了基于USB接口的木马注入和数据无线回传机制，根据资料，最大通讯距离可达8英里。

第四，超强的突破物理隔离网络能力。美方基于物流链劫持、人工带入等方式，借助外设和辅助信号装置，实现建立桥头堡、构建第二电磁信道等方式，突破物理隔离网络。例如在震网反击中，根据相关信息，由荷兰情报机构人员进入到现场，将带有震网病毒的USB设备接入到隔离内网发起反击。

第五，恶意代码载荷基本覆盖所有操作系统平台。我的世界在已曝出的美方反击行动中，已发现各类操作系统平台样本，如Windows、Linux、Solaris、Android、OSX、iOS等。可以说面对美方反击能力，没有安全的系统。

第六，广泛采用无文件实体技术，采用直接内存加载执行或建立隐藏磁盘存储空间等方式隐蔽样本，同时通过固件等方式实现更隐蔽的持久化。我的世界例如，DanderSprit木马框架中就包括写入硬盘固件的组件，在反击过程中，针对符合预设条件的主机，将木马写入到硬盘固件中。即使用户重新安装系统，木马依然能重新加载。

李柏松表示，网络安全防护工作必须正视威胁、直面对手，要充分认识到网络安全所面临风险挑战的高度严峻性，深入贯彻总体国家安全观，以捍卫国家主权、安全和发展利益的高度开展网络安全防御工作。

此前报道：英国安局网络间谍主力装备曝出！