1.1 威脅簡史

與經(jīng)濟社會的發(fā)展類似，網(wǎng)絡(luò)威脅的發(fā)展也經(jīng)歷了從簡單到復(fù)雜，從無組織到有組織的過程。總體來看，我們大致可以把網(wǎng)絡(luò)威脅的發(fā)展分為萌芽時代、黑客時代、黑產(chǎn)時代和高級威脅時代。不過，這些時代的變遷總體上是一個演進的過程，很難嚴格、精確地進行年代區(qū)分。

1.1.1 萌芽時代

萌芽時代也就是網(wǎng)絡(luò)威脅的幼年時代。這個時代可以從計算機的誕生之日算起，到20世紀(jì)末、21世紀(jì)初才結(jié)束。這個時代的計算機系統(tǒng)相對簡單，互聯(lián)網(wǎng)的普及程度也十分有限，能夠開發(fā)木馬病毒的人少之又少。所以，這個時代的木馬病毒數(shù)量很少，代碼結(jié)構(gòu)也比較簡單，破壞力和威脅性都很有限。

在這個時代，最具代表性的網(wǎng)絡(luò)威脅事件莫過于磁芯大戰(zhàn)、大腦病毒和莫里斯蠕蟲的傳播。

1.計算機病毒的理論原型

1946年2月14日，世界上第一臺通用計算機在美國賓夕法尼亞大學(xué)誕生。這臺名為“埃尼阿克”（ENIAC）的計算機占地面積約170平方米，總重量約30噸。

就在其誕生后僅3年，也就是1949年，馮·諾依曼就在其論文《復(fù)雜自動裝置的理論及組織的進行》中，首次提出了一種會自我繁殖的程序存在的可能。而馮·諾依曼的這一觀點，被后人視為計算機病毒最早的理論原型。當(dāng)然，以今天的眼光來看，計算機病毒未必都有傳染性或自我繁殖的特性，但早期的計算機病毒確實如此。

從理論到實踐，計算機病毒的發(fā)展又經(jīng)歷了漫長的過程。1966年，在美國貝爾實驗室里，工程師威廉·莫里斯（羅伯特·莫里斯的父親）和兩位同事在業(yè)余時間共同開發(fā)了一個游戲：游戲雙方各編寫一段計算機代碼，輸入同一臺計算機中，并讓這兩段代碼在計算機中“互相追殺”。由于當(dāng)時計算機采用磁芯作為內(nèi)存儲器，所以這個游戲又被稱為磁芯大戰(zhàn)。

磁芯大戰(zhàn)的技術(shù)原理與后來的計算機病毒非常接近，其產(chǎn)生的代碼也可以說是在實驗室里培養(yǎng)出來的“原始毒株”。不過，由于當(dāng)時計算機還是個稀罕物，基本上只存在于實驗室中，磁芯大戰(zhàn)的相關(guān)代碼并沒有流入民間。因此，人們一般不會把磁芯大戰(zhàn)的相關(guān)代碼作為第一個病毒來看待，而是普遍將其視為計算機病毒的實驗室原型。

2.早期的計算機病毒

計算機病毒從實驗室原型走進現(xiàn)實生活，又經(jīng)過了20年左右的時間。1986年，第一個流行計算機病毒“大腦病毒”誕生。時隔兩年，1988年，第一個通過互聯(lián)網(wǎng)傳播的病毒——莫里斯蠕蟲誕生。

（1）大腦病毒——公認的第一個流行計算機病毒

大腦病毒由一對巴基斯坦兄弟編寫。因為其公司出售的軟件時常被任意非法復(fù)制，使得購買正版軟件的人越來越少。所以，兄弟二人便編寫了大腦病毒來追蹤和攻擊非法使用其公司軟件的人。該病毒運行在DOS系統(tǒng)下，通過“軟盤”傳播，會在人們盜用軟件時將盜用者硬盤的剩余空間“吃掉”。所以說，人類歷史上的第一個計算機病毒實際上是為了“正義”而編寫的“錯誤”程序。

（2）莫里斯蠕蟲——第一個通過互聯(lián)網(wǎng)傳播的病毒

莫里斯蠕蟲由康奈爾大學(xué)的羅伯特·莫里斯制作。1988年，某大國國防部的軍用計算機網(wǎng)絡(luò)遭受莫里斯蠕蟲攻擊，致使網(wǎng)絡(luò)中6000多臺計算機感染病毒，直接經(jīng)濟損失高達9600萬美元。后來出現(xiàn)的各類蠕蟲都是模仿莫里斯蠕蟲編寫的。羅伯特·莫里斯編寫該蠕蟲的初衷其實是向人們證明網(wǎng)絡(luò)漏洞的存在，但病毒擴散的影響很快就超出了他的想象。為此，他被判有期徒刑3年、1萬美元罰金和400小時社區(qū)服務(wù)。

3.計算機病毒大流行

20世紀(jì)90年代中后期，Windows操作系統(tǒng)開始在全球普及。計算機病毒的攻擊目標(biāo)也開始從早期操作系統(tǒng)（如DOS）逐漸進化為Windows系統(tǒng)，并開始通過軟盤、光盤、互聯(lián)網(wǎng)和移動存儲設(shè)備等方式進行傳播。世界范圍內(nèi)的“病毒災(zāi)難”幾乎每隔一兩年就會爆發(fā)一次。CIH、梅利莎、愛蟲、紅色代碼等知名病毒都在這一時期先后涌現(xiàn)。

4.萌芽時代的主要特點

整個萌芽時代的網(wǎng)絡(luò)威脅，主要有以下幾個特點。

（1）帶有感染性、破壞性的傳統(tǒng)計算機病毒是主要威脅

總體來看，萌芽時代的網(wǎng)絡(luò)威脅形式還比較單一，絕大多數(shù)都是帶有感染性和破壞性的傳統(tǒng)計算機病毒。這些病毒感染計算機后，大多會有明顯的感染跡象，也就是說，病毒通常會主動自我顯形；同時，不論傳染方式如何，這些病毒大多自動發(fā)起攻擊。這與后來流行的自我隱形、定點攻擊的主流木馬程序有很大的區(qū)別。

此外，萌芽時代還沒有智能手機，病毒攻擊的目標(biāo)主要是計算機。

（2）計算機病毒數(shù)量不多，攻擊目標(biāo)不定

萌芽時代絕大多數(shù)的流行病毒都是由制作者手動編寫的，因此產(chǎn)量較低，平均每年流行的新病毒數(shù)量為幾百到幾千個。

此外，以今天的眼光來看，當(dāng)時的絕大多數(shù)病毒制作者都是“不可理喻”的。因為這些病毒除了搞破壞，就是搞各種惡作劇，病毒的“發(fā)作”通常都不會給病毒制作者帶來任何好處。制作這些病毒的目的，有的是驗證問題（如莫里斯蠕蟲），有的是炫耀技術(shù)，還有一些是伸張“正義”，如防止盜版（如打包病毒）或警示人們應(yīng)該給計算機打補丁等。

（3）計算機病毒的傳播大多利用已知的安全漏洞

在萌芽時代，漏洞的概念已經(jīng)廣為人知。但由于給計算機打補丁的人少之又少，所以，絕大多數(shù)的計算機病毒的傳播都沒有必要利用0day漏洞（軟件和系統(tǒng)服務(wù)商尚未推出補丁的安全漏洞），而是直接利用已知漏洞，甚至是已經(jīng)修復(fù)數(shù)月的漏洞。

漏洞的問題，在萌芽時代一直沒有得到很好的解決。這主要是由于當(dāng)時的普通用戶給計算機打補丁非常困難。直到2006年免費安全軟件開始在國內(nèi)普及，以及2007年由免費安全軟件提供的第三方打補丁工具開始流行，傳統(tǒng)病毒的大規(guī)模流行才被逐漸終結(jié)。如今，所有常見的民用操作系統(tǒng)，如Windows、Mac OS、Android、iOS等，都已經(jīng)為用戶提供了主動的補丁推送機制，打補丁已經(jīng)成了一種“簡單的習(xí)慣”，病毒在民用領(lǐng)域大規(guī)模爆發(fā)的事件較為罕見。

1.1.2 黑客時代

1.新型威脅層出不窮

黑客時代持續(xù)的時間不算太長，大致范圍是在21世紀(jì)的最初10年。在這個時代，社交網(wǎng)絡(luò)、游戲和電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用空前繁榮，使得網(wǎng)絡(luò)攻擊變成了一件“有利可圖”的事。

在利益的驅(qū)動之下，木馬程序、掛馬網(wǎng)頁、釣魚網(wǎng)站、流氓軟件等新型攻擊手法不斷涌現(xiàn)，網(wǎng)絡(luò)詐騙的雛形出現(xiàn)，網(wǎng)絡(luò)攻擊互動日益活躍，并開始呈現(xiàn)爆發(fā)式增長。此外，針對企業(yè)和機構(gòu)的DDoS攻擊、網(wǎng)頁篡改和滲透等活動也日漸活躍。

2.超級病毒繼續(xù)肆虐

在黑客時代，個人計算機中的安全軟件普及率和打補丁率仍然很低，因此，各類超級病毒仍在繼續(xù)流行，比較有名的包括沖擊波、MyDoom、Shockwave（震蕩波）、熊貓燒香等。其中，沖擊波和熊貓燒香最具影響力。

（1）沖擊波病毒（2003年）——歷史上影響力最大的病毒

2003年8月，沖擊波病毒席卷全球。該病毒利用微軟網(wǎng)絡(luò)接口RPC漏洞進行傳播，傳播速度極快，1周內(nèi)感染了全球約80%的計算機，成為歷史上影響力最大的病毒。

計算機感染沖擊波病毒之后的現(xiàn)象也非常獨特，計算機在開機后會顯示一個關(guān)機倒計時提示框，如圖1-1所示，該框無法關(guān)閉，計時到0以后，計算機就會自動關(guān)閉。再次開機又會重復(fù)這一過程，使計算機無法使用。

（2）熊貓燒香（2007年）——國內(nèi)知名度最高的病毒

熊貓燒香是知名度最高的“國產(chǎn)”病毒。該病毒從2007年1月開始肆虐網(wǎng)絡(luò)，感染的計算機數(shù)量達幾百萬臺。該病毒的主要特點是，將計算機上所有的可執(zhí)行程序的圖標(biāo)改成熊貓舉著三根香樣子的圖片，如圖1-2所示，并導(dǎo)致計算機系統(tǒng)甚至整個局域網(wǎng)癱瘓。

3.黑客時代的主要特點

相比于萌芽時代，黑客時代的攻擊技術(shù)和攻擊方式都有了很大的進步，為日后的黑產(chǎn)時代奠定了基礎(chǔ)。總體來看，黑客時代的網(wǎng)絡(luò)威脅主要有以下幾個特點。

（1）安全失衡

這個時代，互聯(lián)網(wǎng)的普及速度、網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展速度都大大超出了網(wǎng)絡(luò)安全技術(shù)與服務(wù)的發(fā)展速度，使得應(yīng)用與安全之間失去平衡，絕大多數(shù)的個人計算機都處于極低的防護水平。

（2）單兵作戰(zhàn)

由于在這個時代入侵個人計算機非常容易，因此即便單兵作戰(zhàn)，攻擊者通常也會獲得很高的收益且風(fēng)險很低。也正因為如此，黑客時代的絕大多數(shù)攻擊者都會單獨行動，而絕大多數(shù)被攻擊的人也都是普通網(wǎng)民。

（3）利益驅(qū)動

盡管大規(guī)模的破壞性攻擊仍然時有發(fā)生，但惡意程序從傳統(tǒng)病毒向現(xiàn)代木馬的進化過程非常顯著。熊貓燒香之后，純粹搞破壞的病毒幾乎絕跡，而木馬程序則“遍地開花”。諸如掛馬網(wǎng)頁、釣魚網(wǎng)站、流氓軟件等新型威脅，實際上都是利益驅(qū)動下陰暗活動的產(chǎn)物。

1.1.3 黑產(chǎn)時代

1.網(wǎng)絡(luò)威脅持續(xù)升級

進入21世紀(jì)第2個10年，隨著免費安全軟件的普及，普通個人計算機面臨的直接網(wǎng)絡(luò)威脅越來越小，動輒數(shù)百萬臺計算機被感染的事件幾乎絕跡。但是，與傳統(tǒng)網(wǎng)絡(luò)威脅逐漸消失相伴的是網(wǎng)絡(luò)黑產(chǎn)的日益成熟。信息泄露、網(wǎng)絡(luò)詐騙、勒索病毒、挖礦木馬、DDoS攻擊、網(wǎng)頁篡改等多種形式的網(wǎng)絡(luò)威脅開始迅速地大范圍流行。

下面簡要介紹信息泄露、網(wǎng)絡(luò)詐騙、勒索病毒和挖礦木馬。

在國內(nèi)，信息泄露問題最早被關(guān)注是在2011年，起因是國內(nèi)某知名的開發(fā)者社區(qū)發(fā)生大規(guī)模信息泄露事件。此后，信息泄露問題在全球范圍內(nèi)持續(xù)高發(fā)。2019年，僅被全球媒體公開報道的重大信息泄露事件就達近300起，信息泄露總規(guī)模達10億億條。補天漏洞響應(yīng)平臺數(shù)據(jù)顯示，2017年以來，國內(nèi)網(wǎng)站因安全漏洞造成的信息泄露規(guī)模每年高達50億～80億條。

信息泄露的直接后果之一就是網(wǎng)絡(luò)詐騙的盛行。表面上看，信息泄露的責(zé)任主體是企業(yè)，但受影響最深的是普通網(wǎng)民。2016年，山東臨沂女學(xué)生徐某因被網(wǎng)絡(luò)詐騙而死亡，引發(fā)了人們對信息泄露與網(wǎng)絡(luò)詐騙的高度關(guān)注。網(wǎng)絡(luò)購物退款詐騙、機票退改簽詐騙、冒充公檢法詐騙等多種精準(zhǔn)、高危的詐騙形式，讓普通網(wǎng)民防不勝防。

勒索病毒最早興起于2015年前后，并因2017年全球爆發(fā)的WannaCry病毒（中文名：永恒之藍）而廣為人知。早期的勒索病毒主要針對企業(yè)高管等高價值人群，2017年以后則轉(zhuǎn)為攻擊企業(yè)和機構(gòu)服務(wù)器或工業(yè)控制系統(tǒng)。

挖礦木馬幾乎與勒索病毒同時出現(xiàn)，但直到2019年才開始大范圍流行。挖礦木馬早期的攻擊目標(biāo)主要是智能手機和物聯(lián)網(wǎng)設(shè)備，后期則開始大規(guī)模攻擊企業(yè)和機構(gòu)服務(wù)器。

2.黑色產(chǎn)業(yè)鏈日趨成熟

黑產(chǎn)時代，網(wǎng)絡(luò)犯罪組織與黑色產(chǎn)業(yè)鏈日趨成熟。以網(wǎng)絡(luò)詐騙為例，即便是小型網(wǎng)絡(luò)詐騙團伙，一般也由5～10人組成，并且團伙成員一般只完成最終的詐騙環(huán)節(jié)，至于個人信息竊取、犯罪工具準(zhǔn)備（銀行卡、電話卡、身份證等）、木馬病毒制作、釣魚網(wǎng)站制作、銷贓分贓等環(huán)節(jié)，則由產(chǎn)業(yè)鏈上的其他人員完成。而產(chǎn)業(yè)鏈上不同環(huán)節(jié)的人員，甚至可能互不相識，他們通過社交軟件或黑產(chǎn)平臺進行交流。

圖1-3給出了一個典型的網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈模型，其中包括至少23個不同的具體分工。

除網(wǎng)絡(luò)詐騙，勒索病毒、挖礦木馬、DDoS攻擊、網(wǎng)頁篡改等各類網(wǎng)絡(luò)危脅，如今也基本上都是由專業(yè)的犯罪團伙在上下游產(chǎn)業(yè)鏈的支撐下實現(xiàn)的，單兵作戰(zhàn)的情況已經(jīng)非常少見。還有部分犯罪團伙會以注冊企業(yè)的形式明目張膽地組織大規(guī)模網(wǎng)絡(luò)犯罪活動。在日漸成熟的黑色產(chǎn)業(yè)鏈的專業(yè)攻擊之下，普通群眾或一般的企業(yè)和機構(gòu)已經(jīng)很難獨善其身，很難再依靠自己的力量保護好自己。

3.黑產(chǎn)時代的主要特點

（1）黑色產(chǎn)業(yè)鏈已形成，攻擊手法更專業(yè)

攻擊組織化、手段專業(yè)化、產(chǎn)業(yè)鏈條化是黑產(chǎn)時代網(wǎng)絡(luò)威脅的主要特點。據(jù)估算，在全國范圍內(nèi)，網(wǎng)絡(luò)黑產(chǎn)從業(yè)人數(shù)可能多達上百萬。

（2）智能手機與物聯(lián)網(wǎng)設(shè)備成攻擊目標(biāo)

在萌芽時代和黑客時代，個人計算機都是網(wǎng)絡(luò)攻擊的主要目標(biāo)。但進入黑產(chǎn)時代以后，智能手機很快成了各類網(wǎng)絡(luò)威脅，特別是網(wǎng)絡(luò)詐騙主要的攻擊目標(biāo)。

同時，物聯(lián)網(wǎng)設(shè)備防護能力低，漏洞修復(fù)不及時等問題，也使得其頻頻淪陷。2016年10月發(fā)生的某國斷網(wǎng)事件，就是由一個控制了近90萬個物聯(lián)網(wǎng)設(shè)備，名為Mirai的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊造成的。

（3）企業(yè)和機構(gòu)成主要攻擊目標(biāo)

相比于個人計算機或智能手機的安全防護，企業(yè)和機構(gòu)復(fù)雜的辦公系統(tǒng)與業(yè)務(wù)系統(tǒng)的安全防護要困難得多，并且很難找到“一招鮮”的解決方案。在個人網(wǎng)絡(luò)安全服務(wù)幾近飽和的情況下，更具專業(yè)能力的犯罪團伙自然就把“漏洞百出”但價值更高的企業(yè)和機構(gòu)當(dāng)成了主要的攻擊目標(biāo)。這就導(dǎo)致了近年來由網(wǎng)絡(luò)威脅引發(fā)的安全生產(chǎn)事故層出不窮。

1.1.4 高級威脅時代

2010年在伊朗爆發(fā)的震網(wǎng)病毒（Stuxnet）開啟了一個新的時代篇章，具有強大資金和技術(shù)能力背景的攻擊組織開始逐漸被人們認識。2013年的棱鏡門事件、2015年底到2016年初的希拉里“郵件門”、烏克蘭大停電事件，以及2017年爆發(fā)的WannaCry事件等，其背后都有強大的攻擊組織的身影。這些組織往往技術(shù)高超且十分隱蔽，一般很難被發(fā)現(xiàn)。網(wǎng)絡(luò)安全工作者一般稱這種網(wǎng)絡(luò)威脅為高級威脅，如果這種高級威脅是持續(xù)不斷的，那么就稱其為高級持續(xù)性威脅（Advanced Persistent Threat，APT）。高級威脅時代與黑產(chǎn)時代都是從2010年開始的，同屬一個時期，但是它們背后的技術(shù)手段不同。

1.著名的高級威脅事件

（1）震網(wǎng)病毒

震網(wǎng)病毒是世界上第一個軍用級網(wǎng)絡(luò)攻擊武器、第一個針對工業(yè)控制系統(tǒng)的木馬病毒和第一個能夠?qū)ΜF(xiàn)實世界產(chǎn)生破壞性影響的木馬病毒。

震網(wǎng)病毒，英文名稱是Stuxnet，最早于2010年6月被發(fā)現(xiàn)。在其被發(fā)現(xiàn)前近1年的時間里，該病毒至少感染了全球45000個工業(yè)控制系統(tǒng)，其中近60%出現(xiàn)在伊朗。由于該病毒的針對性很強，因此絕大多數(shù)被感染的系統(tǒng)并沒有發(fā)生任何異常現(xiàn)象。

（2）烏克蘭大停電

2015年12月23日，也就是2015年的圣誕節(jié)前夕，烏克蘭一家電力公司的辦公計算機和工業(yè)控制系統(tǒng)遭到網(wǎng)絡(luò)攻擊，導(dǎo)致伊萬諾·弗蘭科夫斯克地區(qū)將近一半的家庭經(jīng)歷了數(shù)小時的停電。

攻擊烏克蘭電力系統(tǒng)最主要的惡意程序名為BlackEnergy。黑客能夠利用該程序遠程訪問并操控電力控制系統(tǒng)，此外，在烏克蘭境內(nèi)的多家配電公司設(shè)備中還檢測出了惡意程序KillDisk，其主要作用是破壞系統(tǒng)數(shù)據(jù)，以延緩系統(tǒng)的恢復(fù)過程。

（3）WannaCry

2017年4月，黑客組織“影子經(jīng)紀(jì)人”在互聯(lián)網(wǎng)上公布了包括“永恒之藍”在內(nèi)的一大批據(jù)稱是“方程式組織”（Equation Group）漏洞利用工具的源代碼。僅一個月后，即2017年的5月12日，一個利用了“永恒之藍”工具的勒索病毒W(wǎng)annaCry開始在全球范圍內(nèi)大規(guī)模爆發(fā)，短短幾個小時內(nèi)，就有中國、英國、美國、德國、日本、土耳其、西班牙、意大利、葡萄牙、俄羅斯和烏克蘭等國家被報道遭到了WannaCry的攻擊，大量機構(gòu)的設(shè)備陷入癱瘓。據(jù)媒體報道，受此次病毒影響的國家超過100個。這是自沖擊波病毒之后，全球范圍內(nèi)最大規(guī)模的一場網(wǎng)絡(luò)病毒災(zāi)難。

2.高級威脅組織

所謂高級，其實就是指攻擊手法高超。能夠發(fā)起高級威脅攻擊的攻擊組織中最有名的是方程式組織。這個組織被普遍視為來自北美地區(qū)的攻擊組織，是目前已知的技術(shù)水平最高、代碼武器庫最豐富的APT組織。震網(wǎng)病毒事件就是由該組織發(fā)起的，而具有全球性破壞力的WannnaCry，也是利用了該組織的代碼武器庫中的漏洞利用工具“永恒之藍”編寫而成的。

除了方程式組織，國際上比較有名的APT組織還有2013年通過攻擊補丁服務(wù)器致使韓國2家銀行、3家電視臺計算機系統(tǒng)癱瘓的Lazarus和2015年希拉里“郵件門”事件中制造郵箱攻擊事件的APT28等。

2015年，APT組織“海蓮花”被國內(nèi)安全機構(gòu)披露。此后，國內(nèi)各大安全機構(gòu)也紛紛對APT組織展開深入的研究。截至2020年初，世界各國安全機構(gòu)已累計披露各類APT組織150多個。其中，奇安信威脅情報中心已獨立截獲各類APT組織40個，已經(jīng)公開披露并命名APT組織14個，包括美人魚、人面獅、雙尾蝎、黃金鼠、肚腦蟲、盲眼鷹、拍拍熊、諾崇獅、海蓮花、摩訶草、蔓靈花、藍寶菇、毒云藤和黃金眼。

其中，黃金眼組織是一個以合法軟件開發(fā)企業(yè)為偽裝、以不當(dāng)贏利為目的的長期從事敏感金融交易信息竊取活動的境內(nèi)APT組織。盡管該組織并沒有任何國家背景，但其攻擊技術(shù)與攻擊能力均已達到APT水準(zhǔn)，所以，我們也將其歸為APT組織。

3.高級威脅的歷史影響

高級威脅的出現(xiàn)，使得絕大多數(shù)的傳統(tǒng)安全方法失效。甚至從理論上講，高級威脅是無法完全有效防御的。這就要求我們必須轉(zhuǎn)變安全思想，從單純的重視事前防御轉(zhuǎn)向重視快速檢測與快速響應(yīng)。目前，以大數(shù)據(jù)、流量分析、威脅情報等技術(shù)為代表的新一代網(wǎng)絡(luò)安全技術(shù)開始受到重視，并在應(yīng)對高級威脅過程中得以快速發(fā)展。而一家安全機構(gòu)對APT組織及其行動的研究和發(fā)現(xiàn)能力，也在一定程度上代表了這家機構(gòu)的綜合能力。