Google受攻擊技術細節曝光

【1月17日更新】

　　McAfee CTO George Kurtz在發表了新的部落格文章，稱之前提到的極光行動中使用的針對IE漏洞的惡意程式碼已經在網上釋出，但他沒有說明是哪個網站。

　　稍早前媒體報導，Yahoo應該在Google受攻擊之前就遭到了攻擊，但它沒有公開，只是自己加強了安全防範。

　　【1月16日7:30重要更新】

　　《連線》雜誌文章給出了大量攻擊細節，非常值得一讀。

　　文章引述McAfee公司的話，說（攻擊Google的）黑客使用了前所未有的戰術，組合了加密、隱祕程式設計技術和IE中的未知漏洞，意圖是竊取Google、Adobe和許多其他大公司的原始碼。

　　該公司威脅研究副總裁Dmitri Alperovitch說：在國防工業之外，我們從未見過商業行業的公司遭受過如此複雜程度的攻擊。

　　Alperovitch說，攻擊者使用了十幾種惡意程式碼和多層次的加密，深深地挖掘進了公司網路內部，並巧妙掩蓋自己的活動。在掩飾攻擊和防範常規偵測方法上，他們的加密非常成功。我們從未見過這種水平的加密。非常高超。

　　McAfee之所以將這種攻擊命名為Auroro（極光），是因為他們發現，黑客在將惡意程式碼編譯為可執行檔案時，編譯器將攻擊者機器上的路徑名插入程式碼中。

　　在IE漏洞被曝光後，微軟很快釋出了針對性的安全建議書。而McAfee也在其產品中增加了偵測這種攻擊所用惡意程式碼的功能。

　　雖然最初的攻擊始自公司僱員訪問惡意網站，但是研究人員還在試圖確定網站的URL是通過郵件、聊天程式還是其他方式，比如Facebook或者其他社會化網站。

　　當使用者訪問惡意網站的時候，他們的IE瀏覽器將被襲擊，自動而且祕密地下載一系列惡意程式碼到計算機中。這些程式碼就像俄羅斯套娃那樣，一個跟著一個地下載到系統中。

　　Alperovitch表示，最初的攻擊程式碼是經過三次加密的shell code，用來啟用漏洞挖掘程式。然後它執行從外部機器下載的程式，後者也是加密的，而且會從被攻擊機器上刪除第一個程式。這些加密的二進位制檔案將自己打包為幾個也被加密的可執行檔案。

　　其中一個惡意程式會開啟一個遠端後門，建立一個加密的祕密通道，偽裝為一個SSL連結以避免被偵測到。這樣攻擊者就可以對被攻擊機器進行訪問，將它作為灘頭陣地，繼續進攻網路上的其他部分，搜尋登入憑據、智慧財產權和其他要找的東西。

　　McAfee因參與攻擊調查，從被攻擊公司那裡得到了攻擊所用的一些惡意程式碼副本，並在幾天前加強了自己的產品。

　　對於另一家安全企業iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬，Alperovitch表示，他發現的惡意程式碼此前任何反病毒廠商都不知道。

　　iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程式的漏洞，而Alperovitch說，他調查的公司裡沒有發現這種情況。但他表示攻擊不同公司的方法可能不同，不限於IE漏洞。

　
　當黑客進入系統後，他們將資料傳送給位於美國伊利諾依州和得克薩斯州以及台灣的指揮控制伺服器。Alperovitch所沒有識別到美國的系統牽涉
到這次攻擊，也沒有提到攻擊者的戰果。但Rackspace報告他們無意中在攻擊中發揮了少量作用。而iDefense則表示攻擊者的目標是許多公司的源
碼庫，而且很多情況下都成功得手。

　　Alperovitch說攻擊看上去是從12月15日開始的，但也有可能更早。似乎結束於1月4日，那一天，用來與惡意程式碼傳輸資料的指揮控制伺服器被關閉。

　　他說：我們不知道伺服器是由攻擊者關閉的，還是其他組織關閉的。但是從那時起，攻擊停止了。

　
　Aperovitch還指出，攻擊的時機非常好，是在假日期間，公司的運營中心和安全響應團隊人手很少。攻擊的複雜程度令人印象深刻，是那種此前僅針對
國防工業的攻擊型別。一般對於商業部門，攻擊只是為了獲取財務方面的資訊，通常是通過SQL隱碼攻擊公司的網站，或者攻擊公司不安全的無線網路。網路罪犯
一般不會花大量的時間把攻擊精雕細刻到如此程度，每個方面都採取混淆/加密防範。

　　McAfee還掌握了更多攻擊細節，但目前不準備公佈。他們已經與美國執法部門合作，並將這一問題告知美國各級政府。

　　———————————–

　　對於Google可能退出中國宣告中提到的此前所受到的攻擊，安全技術界給出了各種解釋。

　　VeriSign公司的iDefens實驗室的安全分析師釋出了一份媒體公告，稱黑客攻擊了主要的原始碼庫。

　　VeriSign說超過30家技術公司遭到了一系列攻擊，這有可能始於七月份的一種型別相近的攻擊，這一攻擊通過包含惡意PDF檔案的電子郵件資訊攻擊了100個IT公司。金融和防禦機構也有可能遭到了攻擊。

　
　VeriSign
iDefense在其公告中稱：據熟悉這種攻擊的人員透漏，攻擊者採取了傳播針對Google的惡意程式碼的方式和使用PDF作為電郵附件的攻擊方式；這些
檔案的特徵和去年7月份一次攻擊的特徵很相似。這兩起攻擊中，惡意檔案都在Windows DLL中安插了一個後門木馬。

　　VeriSign說這兩起攻擊使用了相似的IP地址，並使用了相同的命令和控制結構。這些IP地址都屬於Linode（一家美國的虛擬私有伺服器主機供應商）所有。

　　VeriSign說：考慮到它們是如此接近，有可能這兩種攻擊就是同一種攻擊。那些遭到矽谷攻擊的組織自七月以來就一直處於威脅之中。

　　類似的分析在《MIT技術評論》的這篇文章中有比較全面的介紹。

　
　而McAfee CTO George
Kurtz（也是《黑客大曝光》一書的作者之一）則明確不同意這種觀點，他在部落格中稱，Google所受攻擊應該源於一種新的此前不大為人所知的IE漏
洞。McAfee已經向微軟通報了此漏洞，預計不久微軟將提供相關建議。他表示，攻擊主要針對某些能夠訪問重要智慧財產權的特定人員，攻擊者向他們傳送像是
來自一個信任來源的連結或者附件，誘使目標點選，不知不覺中下載和安裝惡意軟體，為攻擊者開啟後門，進入所屬公司的網路。

　　Kurtz
將這種攻擊命名為Aurora（極光）。他在文中還說到，安全威脅已經進入了一個新時代，類似的攻擊只是冰山之一角。與之前常見的影響廣泛的病毒如紅色代
碼不同，這種攻擊需要複雜而精巧的社交工程配合，一般目標極為明確，往往指向有利可圖或者機密的智慧財產權。

　　【更新】

　　微軟已經在自己的網站釋出了一個關於Kurtz所述IE漏洞的安全建議，其中指出，漏洞是IE中的一個無效指標引用。在一些情況下，這個指標可能在物件刪除之後仍然能夠訪問。在精心設計的攻擊中，通過試圖訪問已被釋放的物件，IE可以被用來允許遠端程式碼的執行。

　
　微軟表示，該漏洞將影響Windows各版本上的IE 6到IE 8瀏覽器。只有較老的IE 5.01
SP4不受影響。如果懷疑自己的電腦已經受到這一漏洞的影響，可以訪問
https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-
usscrx=1。

　　微軟公司已經承諾儘快推出補丁。

　　McAfee的威脅研究副總裁Dmitri
Alperovitch表示，這種攻擊非常複雜，此前往往針對的是政府和國防部門，應該不是業餘者所為。McAfee之所以將這種攻擊稱為
Aurora（極光），是因為該惡意程式碼的二進位制檔案路徑名是這個單詞。相信這是攻擊者自己為這種攻擊所起的名字。

　　另據
IOActive公司滲透測試總監Dan Kaminsky說，Windows
XP及以上版本的DEP（資料執行保護）功能有助於防範此類攻擊。另外，雖然Google所受攻擊用到的惡意程式碼隻影響IE
6，但這個漏洞仍然可以用來攻擊更高版本。不過，Windows Vista和Windows 7採用了ASLR（地址空間佈局隨機化，address
space layout randomization）的保護技術，大大增加了攻擊的難度。

　　【1月15日20:17更新】

　　《華爾街日報》文章說：據瞭解（對Google）攻擊的知情人士透露，黑客試圖通過六個臺灣的網路地址來掩飾自己的身份，這是中國大陸黑客的慣常策略。

　　六個地址中，有五個為提供網路電視電影的年代數位媒體股份有限公司（Era Digital Media Co.）所有。該公司表示對攻擊並不知情，並拒絕發表更多評論。第六個地址為金融軟體提供商奇唯科技股份有限公司所有。奇唯表示，已於6月份棄用相關地址。

　　臺灣內政部警政署科技犯罪防制中心主任李相臣表示，兩家公司本身可能都是受害者。

　　【1月16日5:15更新】

　　讀寫網報導，在影響Google安全的IE漏洞曝光後，德國政府呼籲不要使用微軟的瀏覽器。因為其他黑客也會利用這一漏洞。

　　另有網友爆料，Google中國公司上海辦公室有程式設計師涉嫌盜竊Gmail原始碼。此訊息未經Google公司證實。

　　紐約時報報導，Google受到的攻擊可能牽涉到的其他著名公司又增加了國防工業的Northrop Grumman和知名安全廠商Symantec。