2020-09-26 分類: 網(wǎng)站建設(shè)
一個(gè)“有故事”的漏洞
黑客大牛余弦曾經(jīng)說(shuō)過(guò):
每個(gè)漏洞都像一個(gè)孩子,我看著它出生,璀璨地爆發(fā),然后又歸于沉寂。就好像我的生命和它產(chǎn)生了某種聯(lián)系。
如果一個(gè)漏洞只是被白帽子發(fā)現(xiàn),然后直接上報(bào)官方修復(fù),那么無(wú)論它有多么兇猛,終其一生也不可能“璀璨爆發(fā)”。它就像一個(gè)天生的囚徒,在短暫的生命里始終負(fù)著著手銬和腳鐐。
然而,這個(gè)世界偏愛“有故事”的漏洞。就像逃離肖申克監(jiān)獄的銀行家安迪,就像《越獄》中性感迷人的邁克爾。
8651,是一個(gè)特殊的漏洞。它的特別之處不僅在于它非常危險(xiǎn),也不僅在于它是Adobe 2015年公布的最后一個(gè)漏洞。更重要的是——它引發(fā)了一次超出預(yù)計(jì)的緊急升級(jí),因?yàn)檫@個(gè)漏洞已經(jīng)被人“用過(guò)”。
【Adobe官方網(wǎng)頁(yè)截圖,承認(rèn)漏洞已經(jīng)被利用】
這次極端反常的升級(jí)行為被一些安全研究員注意到,他們?cè)贏dobe的升級(jí)日志中看到了一條“特別提示”:
該漏洞已經(jīng)被用于有限的、有針對(duì)性的攻擊。
然后,Adobe在日志中大方地鳴謝了提交漏洞的研究員:來(lái)自華為公司的Kai Wang 和 Hunter Gao。
【Adobe官網(wǎng)有關(guān)鳴謝華為的字段已經(jīng)刪除,在其日文網(wǎng)站上還可以看到】
故事就這樣猝不及防地開始了。一個(gè)不是以安全研究為主業(yè)的公司發(fā)現(xiàn)了一個(gè)高危漏洞,并且稱這個(gè)漏洞已經(jīng)被用于“有針對(duì)性”的攻擊。此情此景,讓人忍不住聯(lián)想:“其實(shí)華為就是這個(gè)受害者吧。”對(duì)于媒體的猜測(cè),華為擺出了一張撲克臉。耐人尋味的是,幾天之后“豬隊(duì)友”Adobe的網(wǎng)站上悄然刪去了有關(guān)華為的那段“特殊鳴謝”。
納尼?黑客可能在搞中國(guó)公司?此事一出,天朝的各大安全公司個(gè)個(gè)振奮,摩拳擦掌準(zhǔn)備“搞一票大的”。不過(guò),整個(gè)事件除了“出爾反爾”的Adobe和“守口如瓶”的華為,似乎沒有其他的突破口。
“猛料”到手
面對(duì)這種信息極度缺乏的“威脅情報(bào)”,找到線索成為了“破案關(guān)鍵”。為了一點(diǎn)信息,苦逼的安全研究員往往要使出渾身解數(shù)——時(shí)而化身特工,時(shí)而化身民工。這一次幸運(yùn)之神降臨在了微步在線身上。
微步在線CEO薛鋒臉上綻放著神秘的微笑,向雷鋒網(wǎng)講述了他的重大突破。他依靠這張混跡了安全圈十多年的臉,從“打死都不能說(shuō)是誰(shuí)”的線人手里拿到了攻擊者使用的“彈藥”——一個(gè)Doc文檔。這個(gè)Doc文檔被發(fā)送給某企業(yè)的高管,在文末附上了一個(gè)鏈接,這個(gè)鏈接會(huì)下載一個(gè)Flash文檔,利用前文提到的漏洞,這個(gè)文件會(huì)自動(dòng)向電腦里植入木馬。
打開文檔就能看出,黑客對(duì)攻擊對(duì)象非常熟悉,文字內(nèi)容也全部合情合理,讓人很容易就會(huì)打開文末的鏈接。只要下載了鏈接中的文件,就中了黑客的圈套。
出于對(duì)線人安全的考量,薛鋒沒有展示這個(gè)Doc文檔。不過(guò)他證實(shí):“這次攻擊的目標(biāo)是一家通信企業(yè)。”
薛鋒和他的團(tuán)隊(duì)可能是世界上絕無(wú)僅有的懷著喜悅心情下載這個(gè)木馬的人。一旦活捉這個(gè)木馬,他們就可以分析出黑客的攻擊細(xì)節(jié)。以薛鋒的經(jīng)驗(yàn)看,這個(gè)木馬不僅狡猾,異常謹(jǐn)慎,而且技術(shù)高超。
1、木馬本身“做工”極為精巧,它掏空了一個(gè)開源工具,并且把攻擊程序塞進(jìn)開源工具之內(nèi)。從外表看,這就是一個(gè)鑰匙生成器,而實(shí)際上這個(gè)生成器還可以工作,只不過(guò)在正常工作之余,順便對(duì)你進(jìn)行“致命一擊”。
2、木馬會(huì)對(duì)電腦上的殺毒軟件做詳盡的排查。從逆向出來(lái)的代碼來(lái)分析,這個(gè)木馬手里有一份包括BAT3、卡巴斯基等近百個(gè)主流殺毒軟件的名單。如果檢測(cè)到了名單上的任何一個(gè)殺毒軟件,木馬都會(huì)選擇蟄伏,不會(huì)進(jìn)行攻擊動(dòng)作。
3、木馬會(huì)對(duì)運(yùn)行環(huán)境進(jìn)行“沙箱測(cè)試”。所謂沙箱,就是安全軟件為了防止病毒破壞而對(duì)可疑文件進(jìn)行隔離的運(yùn)行環(huán)境。木馬一旦發(fā)現(xiàn)自己運(yùn)行在沙箱之中,它也不會(huì)進(jìn)行任何攻擊動(dòng)作。
4、這個(gè)木馬的攻擊行為調(diào)用了HTA文件。這種文件極為冷門,很少有黑客會(huì)選用這個(gè)微軟1999年引入的文件類型。從這一點(diǎn)上看,木馬的制作者對(duì)于微軟系統(tǒng)有著非常深刻的分析。
如果不是“東窗事發(fā)”,這個(gè)程序看起來(lái)完全不像一個(gè)兇殘的木馬。就像某個(gè)變態(tài)殺人狂,平日里看起來(lái)就是一個(gè)文質(zhì)彬彬的程序猿。
本文名稱:“暗黑客?!保荷衩睾诳外惭栏‖F(xiàn)
瀏覽地址:http://jinyejixie.com/news/86729.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google、外貿(mào)建站、網(wǎng)站設(shè)計(jì)公司、營(yíng)銷型網(wǎng)站建設(shè)、品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站維護(hù)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容