“暗黑客?！保荷衩睾诳外惭栏‖F(xiàn)

一個(gè)“有故事”的漏洞

黑客大牛余弦曾經(jīng)說(shuō)過(guò)：

每個(gè)漏洞都像一個(gè)孩子，我看著它出生，璀璨地爆發(fā)，然后又歸于沉寂。就好像我的生命和它產(chǎn)生了某種聯(lián)系。

如果一個(gè)漏洞只是被白帽子發(fā)現(xiàn)，然后直接上報(bào)官方修復(fù)，那么無(wú)論它有多么兇猛，終其一生也不可能“璀璨爆發(fā)”。它就像一個(gè)天生的囚徒，在短暫的生命里始終負(fù)著著手銬和腳鐐。

然而，這個(gè)世界偏愛“有故事”的漏洞。就像逃離肖申克監(jiān)獄的銀行家安迪，就像《越獄》中性感迷人的邁克爾。

8651，是一個(gè)特殊的漏洞。它的特別之處不僅在于它非常危險(xiǎn)，也不僅在于它是Adobe 2015年公布的最后一個(gè)漏洞。更重要的是——它引發(fā)了一次超出預(yù)計(jì)的緊急升級(jí)，因?yàn)檫@個(gè)漏洞已經(jīng)被人“用過(guò)”。

【Adobe官方網(wǎng)頁(yè)截圖，承認(rèn)漏洞已經(jīng)被利用】

這次極端反常的升級(jí)行為被一些安全研究員注意到，他們?cè)贏dobe的升級(jí)日志中看到了一條“特別提示”：

該漏洞已經(jīng)被用于有限的、有針對(duì)性的攻擊。

然后，Adobe在日志中大方地鳴謝了提交漏洞的研究員：來(lái)自華為公司的Kai Wang 和 Hunter Gao。

【Adobe官網(wǎng)有關(guān)鳴謝華為的字段已經(jīng)刪除，在其日文網(wǎng)站上還可以看到】

故事就這樣猝不及防地開始了。一個(gè)不是以安全研究為主業(yè)的公司發(fā)現(xiàn)了一個(gè)高危漏洞，并且稱這個(gè)漏洞已經(jīng)被用于“有針對(duì)性”的攻擊。此情此景，讓人忍不住聯(lián)想：“其實(shí)華為就是這個(gè)受害者吧。”對(duì)于媒體的猜測(cè)，華為擺出了一張撲克臉。耐人尋味的是，幾天之后“豬隊(duì)友”Adobe的網(wǎng)站上悄然刪去了有關(guān)華為的那段“特殊鳴謝”。

納尼？黑客可能在搞中國(guó)公司？此事一出，天朝的各大安全公司個(gè)個(gè)振奮，摩拳擦掌準(zhǔn)備“搞一票大的”。不過(guò)，整個(gè)事件除了“出爾反爾”的Adobe和“守口如瓶”的華為，似乎沒有其他的突破口。

“猛料”到手

面對(duì)這種信息極度缺乏的“威脅情報(bào)”，找到線索成為了“破案關(guān)鍵”。為了一點(diǎn)信息，苦逼的安全研究員往往要使出渾身解數(shù)——時(shí)而化身特工，時(shí)而化身民工。這一次幸運(yùn)之神降臨在了微步在線身上。

微步在線CEO薛鋒臉上綻放著神秘的微笑，向雷鋒網(wǎng)講述了他的重大突破。他依靠這張混跡了安全圈十多年的臉，從“打死都不能說(shuō)是誰(shuí)”的線人手里拿到了攻擊者使用的“彈藥”——一個(gè)Doc文檔。這個(gè)Doc文檔被發(fā)送給某企業(yè)的高管，在文末附上了一個(gè)鏈接，這個(gè)鏈接會(huì)下載一個(gè)Flash文檔，利用前文提到的漏洞，這個(gè)文件會(huì)自動(dòng)向電腦里植入木馬。

打開文檔就能看出，黑客對(duì)攻擊對(duì)象非常熟悉，文字內(nèi)容也全部合情合理，讓人很容易就會(huì)打開文末的鏈接。只要下載了鏈接中的文件，就中了黑客的圈套。

出于對(duì)線人安全的考量，薛鋒沒有展示這個(gè)Doc文檔。不過(guò)他證實(shí)：“這次攻擊的目標(biāo)是一家通信企業(yè)。”

薛鋒和他的團(tuán)隊(duì)可能是世界上絕無(wú)僅有的懷著喜悅心情下載這個(gè)木馬的人。一旦活捉這個(gè)木馬，他們就可以分析出黑客的攻擊細(xì)節(jié)。以薛鋒的經(jīng)驗(yàn)看，這個(gè)木馬不僅狡猾，異常謹(jǐn)慎，而且技術(shù)高超。

1、木馬本身“做工”極為精巧，它掏空了一個(gè)開源工具，并且把攻擊程序塞進(jìn)開源工具之內(nèi)。從外表看，這就是一個(gè)鑰匙生成器，而實(shí)際上這個(gè)生成器還可以工作，只不過(guò)在正常工作之余，順便對(duì)你進(jìn)行“致命一擊”。

2、木馬會(huì)對(duì)電腦上的殺毒軟件做詳盡的排查。從逆向出來(lái)的代碼來(lái)分析，這個(gè)木馬手里有一份包括BAT3、卡巴斯基等近百個(gè)主流殺毒軟件的名單。如果檢測(cè)到了名單上的任何一個(gè)殺毒軟件，木馬都會(huì)選擇蟄伏，不會(huì)進(jìn)行攻擊動(dòng)作。

3、木馬會(huì)對(duì)運(yùn)行環(huán)境進(jìn)行“沙箱測(cè)試”。所謂沙箱，就是安全軟件為了防止病毒破壞而對(duì)可疑文件進(jìn)行隔離的運(yùn)行環(huán)境。木馬一旦發(fā)現(xiàn)自己運(yùn)行在沙箱之中，它也不會(huì)進(jìn)行任何攻擊動(dòng)作。

4、這個(gè)木馬的攻擊行為調(diào)用了HTA文件。這種文件極為冷門，很少有黑客會(huì)選用這個(gè)微軟1999年引入的文件類型。從這一點(diǎn)上看，木馬的制作者對(duì)于微軟系統(tǒng)有著非常深刻的分析。

如果不是“東窗事發(fā)”，這個(gè)程序看起來(lái)完全不像一個(gè)兇殘的木馬。就像某個(gè)變態(tài)殺人狂，平日里看起來(lái)就是一個(gè)文質(zhì)彬彬的程序猿。

網(wǎng)頁(yè)名稱：“暗黑客?！保荷衩睾诳外惭栏‖F(xiàn)
鏈接地址：http://www.bm7419.com/news29/86729.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、品牌網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、定制網(wǎng)站、服務(wù)器托管、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)