135-1060-0256
“暗黑客栈”:神秘黑客獠牙浮现
发布时间:2016/1/15 12:45:47来源:本站原创字体:
 
 
一个“有故事”的漏洞
 
黑客大牛余弦曾经说过:
 
“ 
每个漏洞都像一个孩子,我看着它出生,璀璨地爆发,然后又归于沉寂。就好像我的生命和它产生了某种联系。
 
如果一个漏洞只是被白帽子发现,然后直接上报官方修复,那么无论它有多么凶猛,终其一生也不可能“璀璨爆发”。它就像一个天生的囚徒,在短暂的生命里始终负着着手铐和脚镣。
 
然而,这个世界偏爱“有故事”的漏洞。就像逃离肖申克监狱的银行家安迪,就像《越狱》中性感迷人的迈克尔。
 
8651,是一个特殊的漏洞。它的特别之处不仅在于它非常危险,也不仅在于它是Adobe 2015年公布的最后一个漏洞。更重要的是——它引发了一次超出预计的紧急升级,因为这个漏洞已经被人“用过”。
 
暗黑客栈 暗黑客栈文件服务器
 
【Adobe官方网页截图,承认漏洞已经被利用】
 
这次极端反常的升级行为被一些安全研究员注意到,他们在Adobe的升级日志中看到了一条“特别提示”:
 
“ 
该漏洞已经被用于有限的、有针对性的攻击。
 
然后,Adobe在日志中大方地鸣谢了提交漏洞的研究员:来自华为公司的 Kai Wang 和 Hunter Gao。
 
暗黑客栈 暗黑客栈文件服务器
 
【Adobe官网有关鸣谢华为的字段已经删除,在其日文网站上还可以看到】
 
故事就这样猝不及防地开始了。一个不是以安全研究为主业的公司发现了一个高危漏洞,并且称这个漏洞已经被用于“有针对性”的攻击。此情此景,让人忍不住联想:“其实华为就是这个受害者吧。”对于媒体的猜测,华为摆出了一张扑克脸。耐人寻味的是,几天之后“猪队友”Adobe的网站上悄然删去了有关华为的那段“特殊鸣谢”。
 
纳尼?黑客可能在搞中国公司?此事一出,天朝的各大安全公司个个振奋,摩拳擦掌准备“搞一票大的”。不过,整个事件除了“出尔反尔”的Adobe和“守口如瓶”的华为,似乎没有其他的突破口。
 
“猛料”到手
 
面对这种信息极度缺乏的“威胁情报”,找到线索成为了“破案关键”。为了一点信息,苦逼的安全研究员往往要使出浑身解数——时而化身特工,时而化身民工。这一次幸运之神降临在了微步在线身上。
 
 
微步在线CEO薛锋脸上绽放着神秘的微笑,向雷锋网讲述了他的重大突破。他依靠这张混迹了安全圈十多年的脸,从“打死都不能说是谁”的线人手里拿到了攻击者使用的“弹药”——一个Doc文档。这个Doc文档被发送给某企业的高管,在文末附上了一个链接,这个链接会下载一个Flash文档,利用前文提到的漏洞,这个文件会自动向电脑里植入木马。
 
打开文档就能看出,黑客对攻击对象非常熟悉,文字内容也全部合情合理,让人很容易就会打开文末的链接。只要下载了链接中的文件,就中了黑客的圈套。
 
出于对线人安全的考量,薛锋没有展示这个Doc文档。不过他证实:“这次攻击的目标是一家通信企业。”
 
薛锋和他的团队可能是世界上绝无仅有的怀着喜悦心情下载这个木马的人。一旦活捉这个木马,他们就可以分析出黑客的攻击细节。以薛锋的经验看,这个木马不仅狡猾,异常谨慎,而且技术高超。
 
“ 
1、木马本身“做工”极为精巧,它掏空了一个开源工具,并且把攻击程序塞进开源工具之内。从外表看,这就是一个钥匙生成器,而实际上这个生成器还可以工作,只不过在正常工作之余,顺便对你进行“致命一击”。
 
2、木马会对电脑上的杀毒软件做详尽的排查。从逆向出来的代码来分析,这个木马手里有一份包括BAT3、卡巴斯基等近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件,木马都会选择蛰伏,不会进行攻击动作。
 
3、木马会对运行环境进行“沙箱测试”。所谓沙箱,就是安全软件为了防止病毒破坏而对可疑文件进行隔离的运行环境。木马一旦发现自己运行在沙箱之中,它也不会进行任何攻击动作。
 
4、这个木马的攻击行为调用了HTA文件。这种文件极为冷门,很少有黑客会选用这个微软1999年引入的文件类型。从这一点上看,木马的制作者对于微软系统有着非常深刻的分析。
 
如果不是“东窗事发”,这个程序看起来完全不像一个凶残的木马。就像某个变态杀人狂,平日里看起来就是一个文质彬彬的程序猿。
 
 
 
  
 
返回