近日,维基解密了一个美国中央情报局CIA关于“野蛮袋鼠” ***程序项目的档案。该150页文件详细描述了美国情报机构是如何远程******隔离的计算机网络的。

其中一个组件代号“激动猿猴”(Shattered Assurance)的工具,它可以快速感染插入电脑的U盘,当受感染的U盘插入物理隔离的内网电脑时,将恶意软件部署到这些电脑当中。

这意味着大部分物理、逻辑隔离网络已经不再安全,即使用了网闸隔离的网络也已经不那么可靠。

U盘成为“野蛮袋鼠”的得力帮凶

“野蛮袋鼠”主要通过U盘在不同的网络之间交叉感染,具体过程为:

1. 首先,通过感染与互联网连接的内部计算机,在其安装“激动猿猴”(Emotional Simian)恶意软件;
2. 不知情的用户如将U盘插入被感染的计算机,该U盘即被“激动猿猴”快速感染;
3. 当被感染的U盘插入封闭的内网计算机时,“激动猿猴”就会在该计算机上安装另一个组件Shadow;
4. 随即“激动猿猴”开始收集数据并保存在U盘中,而且这些数据还使用RSA加密算法进行加密;
5. 一旦有人将封闭网络计算机上使用的U盘连接到可以联网的设备上,那么窃取的数据机会被传送回CIA。

“野蛮袋鼠”组建隐蔽的数据传输网络

U盘作为数据传输媒介的缺点是:易感染病毒、易丢失。在面对企业网络安全威胁时,U盘基本上是0抵抗力。

被感染的USB设备主要是利用Windows操作系统的一个漏洞,通过构造的恶意的lnk文件在没有用户的交互情况下执行和加载程序(DLLs)。如果多台封闭网络中的计算机处于CIA的控制下,它们彼此之间会形成一个隐蔽的网络,用于数据的交换和任务协作。这种打破封闭网络的方式和当年震网病毒的工作方式极为相似。

风险来临,网闸真的安全吗?

面对内外网之间的安全管控,很多的企业会选择网闸的方式进行隔离。网闸虽然做了形式上的逻辑隔离,但实质上打通了HTTP等应用层协议,对基于HTTP等应用层协议的***(如SQL注入、XSS***、暴力破解Web密码等)并没有任何专业、可信的防范。其安全性并没有真正的提高。

更重要的是,网闸只是在隔离的两网之间开了一个通道,通道本身并没有数据交换功能,没有解决用户内外网电脑之间的文件、数据交换的需求。这也是用户即使上了网闸,做了所谓的“隔离”却仍然要使用U盘,仍然存在被“野蛮袋鼠”等基于U盘的高级恶意软件***风险的根本原因。

利用UniNXG实现对“野蛮袋鼠”的防御

针对这次的“野蛮袋鼠“,联软科技推出了专为解决物理或逻辑隔离网络间的数据安全交换的安全数据摆渡系统UniNXG。需要进行交换的数据可以通过UniNXG作为安全传播中介,在不同网络之间安全的进行数据的摆渡。用户可以彻底停止U盘在内网的使用

UniNXG集成防病毒引擎与文件专属协议加密功能,不仅在恶意软件感染各阶段对其进行监控,其从安渡服务器非法获取文件不经解密也无法使用。同时,通过外网虚拟服务器的搭建,病毒只能停留在可读不可写的虚拟服务器中(UniNXG阻断了TCP/IP通讯协议),而无法对内网系统进行任何破坏。

这次的“野蛮袋鼠”,只是众多企业网络安全威胁的一种。面对形形×××防不胜防的网络安全威胁,企业只有不断地进行自身网络安全体系的升级,提高企业网络风险防范的能力,才能让企业网络更加健康高效地为业务服务,企业才会更好地立足于信息化时代的浪潮之中。