2020-09-26 分類: 網站建設
一個“有故事”的漏洞
黑客大牛余弦曾經說過:
每個漏洞都像一個孩子,我看著它出生,璀璨地爆發(fā),然后又歸于沉寂。就好像我的生命和它產生了某種聯系。
如果一個漏洞只是被白帽子發(fā)現,然后直接上報官方修復,那么無論它有多么兇猛,終其一生也不可能“璀璨爆發(fā)”。它就像一個天生的囚徒,在短暫的生命里始終負著著手銬和腳鐐。
然而,這個世界偏愛“有故事”的漏洞。就像逃離肖申克監(jiān)獄的銀行家安迪,就像《越獄》中性感迷人的邁克爾。
8651,是一個特殊的漏洞。它的特別之處不僅在于它非常危險,也不僅在于它是Adobe 2015年公布的最后一個漏洞。更重要的是——它引發(fā)了一次超出預計的緊急升級,因為這個漏洞已經被人“用過”。
【Adobe官方網頁截圖,承認漏洞已經被利用】
這次極端反常的升級行為被一些安全研究員注意到,他們在Adobe的升級日志中看到了一條“特別提示”:
該漏洞已經被用于有限的、有針對性的攻擊。
然后,Adobe在日志中大方地鳴謝了提交漏洞的研究員:來自華為公司的Kai Wang 和 Hunter Gao。
【Adobe官網有關鳴謝華為的字段已經刪除,在其日文網站上還可以看到】
故事就這樣猝不及防地開始了。一個不是以安全研究為主業(yè)的公司發(fā)現了一個高危漏洞,并且稱這個漏洞已經被用于“有針對性”的攻擊。此情此景,讓人忍不住聯想:“其實華為就是這個受害者吧。”對于媒體的猜測,華為擺出了一張撲克臉。耐人尋味的是,幾天之后“豬隊友”Adobe的網站上悄然刪去了有關華為的那段“特殊鳴謝”。
納尼?黑客可能在搞中國公司?此事一出,天朝的各大安全公司個個振奮,摩拳擦掌準備“搞一票大的”。不過,整個事件除了“出爾反爾”的Adobe和“守口如瓶”的華為,似乎沒有其他的突破口。
“猛料”到手
面對這種信息極度缺乏的“威脅情報”,找到線索成為了“破案關鍵”。為了一點信息,苦逼的安全研究員往往要使出渾身解數——時而化身特工,時而化身民工。這一次幸運之神降臨在了微步在線身上。
微步在線CEO薛鋒臉上綻放著神秘的微笑,向雷鋒網講述了他的重大突破。他依靠這張混跡了安全圈十多年的臉,從“打死都不能說是誰”的線人手里拿到了攻擊者使用的“彈藥”——一個Doc文檔。這個Doc文檔被發(fā)送給某企業(yè)的高管,在文末附上了一個鏈接,這個鏈接會下載一個Flash文檔,利用前文提到的漏洞,這個文件會自動向電腦里植入木馬。
打開文檔就能看出,黑客對攻擊對象非常熟悉,文字內容也全部合情合理,讓人很容易就會打開文末的鏈接。只要下載了鏈接中的文件,就中了黑客的圈套。
出于對線人安全的考量,薛鋒沒有展示這個Doc文檔。不過他證實:“這次攻擊的目標是一家通信企業(yè)。”
薛鋒和他的團隊可能是世界上絕無僅有的懷著喜悅心情下載這個木馬的人。一旦活捉這個木馬,他們就可以分析出黑客的攻擊細節(jié)。以薛鋒的經驗看,這個木馬不僅狡猾,異常謹慎,而且技術高超。
1、木馬本身“做工”極為精巧,它掏空了一個開源工具,并且把攻擊程序塞進開源工具之內。從外表看,這就是一個鑰匙生成器,而實際上這個生成器還可以工作,只不過在正常工作之余,順便對你進行“致命一擊”。
2、木馬會對電腦上的殺毒軟件做詳盡的排查。從逆向出來的代碼來分析,這個木馬手里有一份包括BAT3、卡巴斯基等近百個主流殺毒軟件的名單。如果檢測到了名單上的任何一個殺毒軟件,木馬都會選擇蟄伏,不會進行攻擊動作。
3、木馬會對運行環(huán)境進行“沙箱測試”。所謂沙箱,就是安全軟件為了防止病毒破壞而對可疑文件進行隔離的運行環(huán)境。木馬一旦發(fā)現自己運行在沙箱之中,它也不會進行任何攻擊動作。
4、這個木馬的攻擊行為調用了HTA文件。這種文件極為冷門,很少有黑客會選用這個微軟1999年引入的文件類型。從這一點上看,木馬的制作者對于微軟系統有著非常深刻的分析。
如果不是“東窗事發(fā)”,這個程序看起來完全不像一個兇殘的木馬。就像某個變態(tài)殺人狂,平日里看起來就是一個文質彬彬的程序猿。
網頁名稱:“暗黑客?!保荷衩睾诳外惭栏‖F
鏈接地址:http://jinyejixie.com/news29/86729.html
成都網站建設公司_創(chuàng)新互聯,為您提供手機網站建設、品牌網站制作、網站設計、定制網站、服務器托管、網站排名
聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯
猜你還喜歡下面的內容