有“故事”的漏洞
黑客大神余弦之前说过:
每个漏洞都像个孩子。我看着它诞生,辉煌地爆发,然后归于沉寂。好像我的生活和它建立了某种联系。
如果一个bug只是被白帽子发现,然后马上上报官网恢复,那么再猛的bug,也不太可能一生都有“辉煌的爆发”。它像一个天生的囚犯,在短暂的一生中,自始至终带着手铐脚镣。
众所周知,世人爱钻“有故事”的空子。比如从肖申克监狱逃出来的金融家安迪,比如《越狱》里的迈克尔。
851是一个独特的漏洞。它的独特性不仅在于它的高风险,还在于它是Adobe在2015年发布的最后一个漏洞。更重要的是——造成了超出预估的紧急升级,因为这个漏洞已经被别人“利用”。
[Adobe官网截图,已被批准的漏洞已被使用]
升级的极端异常个人行为被一些安全研究人员注意到,他们在Adobe的升级系统日志中看到了一条“特别提醒”:
这个漏洞长期以来被用来比较有限的和有目的的攻击。
随后,Adobe在系统日志中确认了提交漏洞的研究人员:华为集团的和亨特·高。
[Adobe官网感谢华为的字段名已被删除,在其日文网站上仍可看到]
小故事就这样毫无准备的开始了。某非安全科研主导的企业发现了一个高危漏洞,并表示这个漏洞早已被用于“有目的”的攻击。在这种情况下,人们不禁会想:“其实,华为才是受害者。”针对新闻媒体的猜想,华为摆出一副不好的嘴脸。回味无穷。几天后,“猪一样的队友”Adobe的网站悄悄删除了华为的“唯一鸣谢”。
纳尼?互联网黑客有可能搞中国企业?此事一出,国内各类安防企业欢呼雀跃,急于提前做好“做大”的准备。然而,除了食言的Adobe和守口如瓶的华为,所有恶性事件似乎都没有其他突破口。
“热东西”得到它
针对这类信息中极其缺乏的“威胁信息”,寻找案件线索成为“重要侦破”。为了更好地了解信息内容,惨不忍睹的安全研究人员通常会使出浑身解数——有时成为情报人员,有时成为民工。这一次,幸运女神来到了微步线上。
微步在线CEO冯雪脸上带着神秘的微笑,向雷锋网描述了他的丰功伟绩。在这张在安全圈混了十几年的脸的帮助下,他从那个“说不清到底是谁”的卧底那里获得了攻击者应用的“子d”——一个Doc文本文档。这个Doc文本文档被发送给一家公司的管理层,在文档的末尾附加了另一个链接。这个链接会下载一个Flash文本文档,通过利用前面提到的漏洞,这个文档会自动在电脑中嵌入木马。
打开文档,可以看到网络黑客对目标了如指掌,文中内容有理有据,非常容易打开文末的连接。如果你在连接中安装了文件,你就会落入网络黑客的圈套。
为了秘密安全起见,冯雪没有出示这份Doc文本文件。但他证实:“这次攻击的总体目标是一家通信公司。”
冯雪和他的精英团队可能是世界上唯一一批非常乐意免费下载这种特洛伊木马的人。一旦木马被活捉,他们就能分析出网络黑客攻击的重点。根据冯雪的工作经验,这个木马不仅奸诈,而且极其谨慎和熟练。
1。木马本身的“质”是极其讲究的。它挖空了一个开源的系统专用工具,把攻击程序流程塞进了开源的系统专用工具。从表面上看,这是一个关键的制造商。其实这个创客还是可以工作的,只不过是在所有正常工作之外对你的“致命一击”。
2。木马会对电脑的电脑杀毒软件进行详细的盘点。从反向代码分析来看,这个木马拥有BAT3、诺顿杀毒软件等近百款流行的电脑杀毒软件。如果查看所有上来列表的电脑杀毒软件,木马会选择沉默,不容易攻击。
3。木马会对软件环境进行“沙盒检测”。说白了,沙盒就是保护软件为了更好的避免病毒破坏,对异常文档进行保护的软件环境。木马一旦意识到自己是在沙盒中 *** 作,就不会进行所有的攻击姿态。
4。这个木马的个人行为已经启用了HTA文档。这种文档极小,极少有网络黑客会采用微软在1999年导入的这种文件属性。从这个角度来说,木马的创造者对微软系统的分析是非常深刻的。
如果不是“一个预言”,这个程序看起来根本不像一个残忍的特洛伊木马。就像一个心理变态的杀手,他通常看起来像一个温和的程序员。
黑暗客栈的尖牙闪现
在掌握了如此详细的攻击要点后,冯雪用手中的材料检查了一下这项技能。他的脑海里闪现出一个已经灭绝的黑客联盟——“黑暗客栈”。
黑暗客栈让人想起人造包子孙二娘。然而,这个从未公开过的名字并不是来自网络黑客本身,而是来自最早发现这个组织的诺顿杀毒软件。它通常被称为黑暗旅馆,因为他们的关键攻击技能是入侵酒店餐厅的Wi-Fi互联网,攻击已经入住的大公司高管的电脑。实际攻击方式,可以参考前面的“开房有风险吗?黑客组织“暗黑客栈”盯上了中国高管。
根据这个组织过去的“犯罪记录”,他们攻击的重点总体目标集中在亚洲,以中国为主,分散在日本、日本和东南亚各地。但是,这并不能证明他们的目标国家非常分散。因为他们攻击的IP常见于酒店和餐厅,所以很难知道他们的总体目标是外国人还是在国外出差的中国人。严格来说,这是中国安全企业第一次掌握相关黑暗客栈如此详细的信息内容。单从这次攻击来看,他们的总体目标已经很明确了——中国公司。查了一下过去的材料,好像可能是在中国公司搞过。
[微步网上公布的攻击特征与历史时间数据对比]
这让人想起于闯CEO张军的一段自我描述:
每次在海外演讲都会被批评。他们指责中国网络黑客对他们进行了多次网络攻击。其实中国受到的攻击很多,我觉得很委屈。我讨厌有这么多网络黑客,但我没有给出任何攻击的直接证据。
诸多迹象表明,黑暗客栈并非“海淀区银q恶霸”那样的街头黑帮阶层,而是一个有机构、有处境的“山口组”。这样,抓获“大鱼”的黑暗客栈就可以让张军“瞑目”了。其实这已经不是中国安全人员第一次为中国准确定位APT(高级持续威胁)了。2015年,360抓到攻击中国海事局组织长达三年的黑客联盟“OceanLotus”,判定其为境外国家黑客联盟,纵横比密集,系统化,适用于境外政府部门。
[oceanlotus的网站域名和网络服务器布局]
众所周知,冯雪觉得黑暗旅馆的水平并不比海莲花低。
如果大家(中国安全企业)的标准都是学生的话,一般黑客联盟最多是中小学生。但是DarkInn和其他人一样都是学生。
所以,只剩下最后一个谜题了:黑暗客栈在付出了所有努力之后,到底想从中国得到什么?
永无止境的“黑暗战争”
黑客可以通过两种方式做事:
精确型——指击中哪里。总体目标是获得特殊的信息内容,而不是立即获利。技术极差,为实现更高的整体目标创造了概率。像勒布朗·詹姆斯·邦德这样的情报员。
撒网捕鱼——用长线钓大鱼,钓更多的鱼。使用通用扫描仪立即窃取大量信息内容或财产。虽然很可能造成丰厚的眼前经济利益,但这样的网络黑客没有远见,最多被视为犯罪嫌疑人,没有情节。
黑暗客栈显然属于前一种。在他们木马攻击的整个过程中,一些个人行为是令人难忘的。例如:
1。他们经常改变活动的具体时间,这样追踪者就无法利用他们的时间表来推断网络黑客的时区。
2。他们会用不同语言的电脑 *** 作系统给他们编号,让追踪者分不清国籍。
3。每次人身攻击后,程序进程会自动擦除攻击痕迹。
虽然这些年来所有的攻击都是针对商业服务企业,而不是政府部门,但这种个人行为已经表现出了一定的政冶竞争力。而且本次攻击选择的0day漏洞在销售市场的价格在20-60万人民币左右。如果这个漏洞是黑暗客栈自己发现的,那么他们一定有非常强的技术水平。如果这个漏洞是他们通过购买获得的,那么他们必须拥有深厚的整体资产实力。冯雪分辨,如果要保证“黑暗客栈”的考试成绩,至少要投入数百万资金。
那么,这种网络黑客来自哪个国家呢?他们的情况如何?
冯雪表示,对于黑暗客栈的员工,微步在线已经有了基本的准确定位,对他们的处境有了有效的判断。然而,现在不是说出来的黄金时间。
但现在我的对手在暗处。现在如果我掌握的信息全部暴露,对手会越来越无法应对。事实上,由于漏洞的曝光和“白帽子”的追踪,DarkInn已经关闭了网络服务器的部分插座。每个人都必须花时间做大量的科学研究。
黑暗客栈的警惕性越来越高,安全研究员的难度系数越来越大。然而,令人不快的现实是,在网络环境下,对于中国中部和公司的攻击,没有合理的方式进行反击。对于这种永远不会被禁止的攻击,唯一能做的就是提升守护者。就DarkInn而言,也许最好的制止手段就是武器装备,只有彻底揭露他们这些年的违法犯罪活动轨迹。
在此之前,这个黑web服务器会再次运行。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)