美国国家安全局拥有一切

随着斯诺登泄密事件的持续曝光，越来越明显的是，大多数正在筹划网络战争的国家只是在为一场看起来无所不能的枪战磨刀霍霍。我们不得不问自己几个棘手的问题，其中最大的可能是：

如果美国国家安全局拥有视线内的一切(所有人都说他们拥有)，那么为什么没有人发现他们呢？“。

斯诺登的文件告诉我们，高价值的目标永远都在受到损害，虽然这项运动确实非常有利于进攻，但防守怎么可能没有抓到一个球呢？防御性供应商的直接结论是，他们要么效率低下，要么故意无知。然而，对于防御性软件和设备的买家来说，问题仍然存在。

明镜周刊1月17日发布的上一次转储，(与之前的发布相比)过得相当平静，但发布的PDF包含了一大堆可能没有被注意到的答案。我们认为其中的一些可能是值得讨论的，因为如果没有其他的，它们照亮了防御者之前可能忽略的领域。(如果您使用的级别中民族国家对手构成您的威胁模型的一部分，则尤其如此。(而且，正如泄密显示的那样，NSA的目标是移动提供商等商业实体，因此它不仅仅是间谍的领域。)。

这篇帖子的目的不是讨论美国国家安全局行为的合法性或泄密事件的道德，我们试图回答的是：

我们认为，以下原因有助于解释这种大规模开采为何如此长时间不为人所知：

围绕NSA的保密气氛一直令人印象深刻，直到最近，他们还真正赢得了“没有这样的机构”的绰号。信息安全领域的大量现任演讲者/培训者/实践者都承认自己植根于NSA。从他们的技能和特长可以清楚地看出，他们在前世明显参与了CNE/CNO。如果深入调查，人们可能会对他们之前活动的范围做出更多的猜测(通过推断，我们将获得美国国家安全局活动的低分辨率快照)。

通读斯诺登的文件，我们的词典里加入了一大堆新词。封堵相对来说是闻所未闻的，植入物这个词在安全圈子里几乎从来没有使用过，但现在已经相当可靠地取代了老化的rootkit。我们已经读了几个小时的文件，并采纳了这些话，但前美国国家安全局的人显然已经在他们多年的服务中生活在这些话中。米德堡的措辞选择并没有超出边界，这一点很有趣，也值得注意。这是对机密和保密的惊人坚持，值得钦佩，可能帮助美国国家安全局保留了一些迄今的秘密。

(当创新出现在视线之外，术语出现分歧时，这是意料之中的。当GCHQ密码学家构思早期的公钥密码时，他们称其为“非秘密密码学”，然而，直到“公钥”变得司空见惯的许多年后，这一点才被披露。既然“植入物”属于公共领域(并且与NSA相关)，供应商似乎没有什么理由继续使用“rootkit”。)。熟练的对手在暴徒的掩护下行动并不是一种新策略，当人们考虑到互联网上有多少与机器人相关的活动时，隐藏在其中显然是一种有用的技术。转储突出显示了NSA利用此技术的两个简单示例。在执行第四方收集时，我们基本上让美国国家安全局要么被动地，要么主动地从执行CNE的其他情报机构那里窃取情报。

事实上，外国CNE可以被寄生、主动洗劫或悄悄地改变用途，这意味着即使是使用属于X国的恶意软件的攻击，使用强烈指向X国的TTP&39；s也可能只是应该归因于第四方收集计划的活动。

当然，美国国家安全局没有必要将自己限制在仅仅利用外国情报机构的范围内。通过DEFIANTWARRIOR，你也可以看到他们在积极使用通用僵尸网络。他们的幻灯片还详细介绍了僵尸网络劫持的工作原理(有时是与联邦调查局合作)，并就如何利用这一渠道提供了一些很有说服力的建议：

这提出了两个值得深思的有趣观点。第一个(明显的)问题是，即使是常规的网络犯罪僵尸网络活动也可能掩盖更全面的渗透形式，第二个问题是它使归属的水域变得更加浑浊。

在过去的几年里，很多人都在谈论中国的知识产权是如何侵入西方世界的。当人们认为同样的幻灯片清楚地表明，到目前为止，中国拥有最大比例的僵尸网络时，我们被迫在将攻击归因于中国时更加谨慎，因为它们来自中国的IP。(我们之前[这里]&；[这里]讨论了我们对证据不足的中国归属的看法)。

对顶级安全会议的一个常见批评是，它们专注于过于复杂的攻击，而网络仍受到未打补丁的服务器和共享密码的危害。蚂蚁目录和一些泄密事件揭示的是，敏感的网络也有足够的理由害怕复杂的攻击。这方面最有趣的文档之一似乎取自内部的Wiki，对正在进行的项目进行分类(并要求提供实习生发展援助)。

这份文档一开始就很有说服力，并继续交付：TAO/ATO Persistence POLITERAIN(CNA)团队正在寻找想要打破现状的实习生。我们的任务是通过使用低级编程攻击硬件，远程降低或摧毁对手的计算机、路由器、服务器和支持网络的设备。“。

对于大多数安全团队来说，低级编程通常意味着外壳代码和操作系统级别的攻击。然后，一小部分研究人员将瞄准针对内核的攻击。我们在这里看到的是齐心协力将目标降低：

我们也总是对想法持开放态度，但我们的重点是固件、BIOS、总线或驱动程序级别的攻击。

我们已经发现了一种方法，它可能能够远程砖块网卡...。开发一个可部署的工具"；。

擦除一个品牌的服务器上的BIOS，该品牌的服务器充当许多竞争对手政府的骨干"；

"；创建固件植入物，该固件植入物能够在OS"；中运行的植入物之间来回传递。

为基于ARM的日立驱动器和基于ARM的富士通驱动器植入最新的Seagate驱动器...、#34；和#34；ARM-Samsung驱动器。

BERSERKR是植入BIOS并从SMM&34；运行的永久性后门。

所有这一切都与CNO/GENIE文件完美一致，该文件明确了该项目中的基础资源：

将允许终端植入物通过技术升级在目标计算机/服务器中持续存在，并支持开发新的方法以持续存在于硬目标网络中并保持其存在。

我们与一些公司合作，他们虔诚地使用白名单技术，并与一些会迅速发现敏感服务器上被更改的系统文件的公司打交道。

我们知道使用离线检查来验证正在运行的主机的完整性的人很少，但能够处理植入的固件或被破坏的BIOS的组织寥寥无几。在没有基于硬件的TPM的情况下，这目前是一个研究级别的问题，大多数人甚至不知道他们有这个问题。

即使我们作为捍卫者完全没有做好准备，人们也会认为那些植入物与国家安全局进行通信的情况迟早会被发现(即使是偶然的)。这些文件再次揭示了为什么这不会导致经典的“确凿证据”。

当发现攻击时，一个常见的IR过程是确定渗出的数据将去往何处。在最简单的情况下(或者如果涉及大成本电影)，这个简单的步骤可以让分析师说：

“来自此受损主机的数据将发送到Country_X中的HOST_B。因此Country_X是罪魁祸首。”

当然，自从20世纪90年代以来，即使是精力充沛的青少年也一直在使用跳跃主机，基于此的变体不只是根据主机B的位置来确定属性，还可以观察谁随后访问主机B来收集战利品。(这正是你真正想成为全球被动对手的时候“)。

即使这样，美国国家安全局迟早也会出手相向，而我们从文件中看到的就是这一主题的巧妙变种：

我们看到了一种名为FASHIONCLEFT的全新协议的使用，它可以有效地将流量从网络中复制出来，将元数据附加到网络上，然后将数据包隐藏在允许流出目标网络的另一个数据包中。

通过隧道将一种类型的通信传输到另一种类型并不是什么新鲜事(尽管该协议的27页界面控制文档很酷)，但这仍然有可能让您在欧洲看到VISABILITE_MACHINE与HOST_X对话。这就是被动收集的用武之地。

这太美了！因此，数据被塞进任何可能离开网络的数据包中，然后被引导通过被动收集器。这意味着我们不能依赖数据被发送到的主机进行归属，即使我们确实完全拥有最后一跳，要看谁出现来获取数据，我们也是徒劳的，因为当数据包在3跳之前穿过网络时就已经完成了。

这确实是一个优雅的解决方案，也是一个漂亮的花招。由于美国国家安全局控制着散布在互联网上的数以万计的被动主机，祝你能找到确凿的证据！

从信息的广度来看，非常清楚的是，这张桌子上的许多其他参与者都超出了他们的深度。许多人的枪口比他们多得可笑，他们在已经准备好的场地上比赛，使用已经被操纵的工具……。更糟糕的是，他们中的许多人甚至不知道这一点。

2010年，我们在爱沙尼亚的CCDCOE向北约人员做了一次演讲。我们的演讲的标题是：网络战争--为什么你的威胁模型可能是错误的！"；(相对于这些爆料，这篇演讲的表现相对较好，值得快速阅读，尽管它早在发现Stuxnet之前)。

从这次谈话中得到的一个关键教训(除了任何在谈论网络战时提到DDoS攻击的专家都应该持保留态度)是，真正的攻击者会建立工具链。使用我们过去笔试的例子，我们指出了我们构建的大多数工具是如何进入模块化工具链的。我们提到，最重要的是，健壮的工具链是坚定的、受赞助的对手的标志。

这个游戏的本质仍然非常倾向于进攻，而且攻击者工具链可能比我们到目前为止看到的复杂的攻击要复杂得多。当你看着斯诺登的文件时，如果有一个词让他们尖叫，那就是它的工具链：

美国(以及他们的“五只眼”合作伙伴)在发现互联网对贸易技术的有用性方面明显走在了前列，并且一直在按照美国网络司令部的座右铭投入资源，以确保全球网络的主导地位。尽管世界各地的组织在过去几年里都在努力使SoC(安全运营中心)成为检测和分类攻击的中心点，但这些文件(首次)以中华民国的形式向我们介绍了它的镜像：

就中华民国的能力而言，文件显示，在2005年，中华民国有215人，每天都在进行100场积极的活动-2005年！(这是几代人以前的互联网时代)。

在我们2011年为半岛电视台(Al Jazeera)撰写的一篇专栏文章中，我们提到，关注美国培训大量网络战士(拥有CEH所有认证)的头条新闻的民族国家将是严重错误的，攻击能力早在美国网络通信正式启动之前就已经对民族国家施加了影响，这些文件证实了这些话。

事实上，如果你是一个涉足这些水域的民族国家，那么我们前面提到的精灵项目的书面预算是值得考虑的。无可否认，有了一个雄心勃勃的既定目标，即计划、装备和实施积极妥协否则难以实现的目标的端点操作，我们可以猜测到，项目精灵将会付出一些代价。

幸运的是，我们不需要猜测，可以看到，2011年，仅精灵一项就花费了6.15亿美元，总人数约为1500人。

当然，尽管关于政府购买0day是否合乎道德的争论甚嚣尘上(尽管有些人可能认为这是一个新概念)，但同一份文件显示，早在2012年，政府就拨出约2500万美元用于暗中购买软件漏洞的社区投资。2500万美元买了一大堆第三方0day。

网络战可能的不对称性质意味着小玩家有可能出拳超过他们的体重等级。我们在这里看到的是肯定的证据，证明房间里最大的孩子已经练习拳击很长一段时间了，…。

斯诺登泄密事件已经从信息安全圈跨越到全球时代精神，这意味着CNN上的国际头条新闻和声音字节。这反过来又导致了网络战争专家的数量急剧增加，他们乐于拿出自己的观点来换取15分钟的成名时间。

风投资金正涌入该行业，每天我们都会看到更多的银弹和更多的专家出现…。但是，我们理应停下来检查一下这些专家的履历。

他们在昨天的头条新闻中表现如何？我见过6位数字顾问试图说服政府，0day从未被使用过，也见过人们谈论民族国家黑客，只不过是带皮的Metasploit游戏机和现代版本的后孔。

全球有多少威胁情报公司正在强调APEX捕食者实际使用的TTP(而不仅仅是发现低垂的果实)。如果他们不是，那么我们需要得出结论，他们要么是不知情的，要么是欺骗我们的同谋，任何一种选择都应该限制许多人目前寻求的过高费用。

这些泄密使我们得以洞察一台精致的进攻机器的工作原理。最新的文件向我们展示了为什么在未来很长一段时间内很难将攻击归因于美国国家安全局，以及为什么“来自民族国家对手的AFE”需要有资格这样做的人做更多的工作。

如果没有其他事情，泄密事件重申了我们2010年谈话的标题。“网络战争..。为什么您的威胁模型可能是错误的“