McAfee:Google遭受攻擊的5大技術特點總結
近日,McAfee公司指出,攻擊Google的黑客使用了前所未有的戰術,組合了加密、隱秘編程技術和IE中的未知漏洞,意圖是竊取Google、Adobe和許多其他大公司的源代碼。
1、黑客攻擊水平相當高超
該公司威脅研究副總裁Dmitri Alperovitch說:在國防工業之外,我們從未見過商業行業的公司遭受過如此復雜程度的攻擊。攻擊者使用了十幾種惡意代碼和多層次的加密,深深地挖掘進了公司網絡內部,并巧妙掩蓋自己的活動。在掩飾攻擊和防范常規偵測方法上,他們的加密非常成功。我們從未見過這種水平的加密。非常高超。
McAfee之所以將這種攻擊命名為Auroro(極光),是因為他們發現,黑客在將惡意代碼編譯為可執行文件時,編譯器將攻擊者機器上的路徑名插入代碼中。
在IE漏洞被曝光后,微軟很快發布了針對性的安全建議書。而McAfee也在其產品中增加了偵測這種攻擊所用惡意代碼的功能。
2、黑客攻擊過程異常復雜
雖然最初的攻擊始自公司雇員訪問惡意網站,但是研究人員還在試圖確定網站的URL是通過郵件、聊天程序還是其他方式,比如Facebook或者其他社交類網站。
當用戶訪問惡意網站的時候,他們的IE瀏覽器將被襲擊,自動而且秘密地下載一系列惡意代碼到計算機中。這些代碼就像俄羅斯套娃那樣,一個跟著一個地下載到系統中。
Alperovitch表示,最初的攻擊代碼是經過三次加密的shell code,用來激活漏洞挖掘程序。然后它執行從外部機器下載的程序,后者也是加密的,而且會從被攻擊機器上刪除第一個程序。這些加密的二進制文件將自己打包為幾個也被加密的可執行文件。
其中一個惡意程序會打開一個遠程后門,建立一個加密的秘密通道,偽裝為一個SSL鏈接以避免被偵測到。這樣攻擊者就可以對被攻擊機器進行訪問,將它作為灘頭陣地,繼續進攻網絡上的其他部分,搜索登錄憑據、知識產權和其他要找的東西。
McAfee因參與攻擊調查,從被攻擊公司那里得到了攻擊所用的一些惡意代碼副本,并在幾天前加強了自己的產品。
3、攻擊不同公司方法也不同
對于另一家安全企業iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬,Alperovitch表示,他發現的惡意代碼此前任何反病毒廠商都不知道。
iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程序的漏洞,而Alperovitch說,他調查的公司里沒有發現這種情況。但他表示攻擊不同公司的方法可能不同,不限于IE漏洞。
4、黑客目標直指公司源碼庫
當黑客進入系統后,他們將數據發送給位于美國伊利諾依州和得克薩斯州以及中國臺灣的指揮控制服務器。Alperovitch所沒有識別到美國的系統牽涉到這次攻擊,也沒有提到攻擊者的戰果。但Rackspace報告他們無意中在攻擊中發揮了少量作用。而iDefense則表示攻擊者的目標是許多公司的源碼庫,而且很多情況下都成功得手。
5、黑客攻擊的時機非常好
Alperovitch說攻擊看上去是從12月15日開始的,但也有可能更早。似乎結束于1月4日,那一天,用來與惡意代碼傳輸數據的指揮控制服務器被關閉。并且,我們不知道服務器是由攻擊者關閉的,還是其他組織關閉的。但是從那時起,攻擊停止了。
Aperovitch還指出,攻擊的時機非常好,是在假日期間,公司的運營中心和安全響應團隊人手很少。攻擊的復雜程度令人印象深刻,是那種此前僅針對國防工業的攻擊類型。一般對于商業部門,攻擊只是為了獲取財務方面的信息,通常是通過SQL注入攻擊公司的網站,或者攻擊公司不安全的無線網絡。網絡罪犯一般不會花大量的時間把攻擊精雕細刻到如此程度,每個方面都采取混淆/加密防范。
McAfee還掌握了更多攻擊細節,但目前不準備公布。他們已經與美國執法部門合作,并將這一問題告知美國各級政府。
【編輯推薦】
