我們(F-secure)的實(shí)驗(yàn)室會(huì)收到很多樣本，大部分是來(lái)自于網(wǎng)上。但是有時(shí)候也會(huì)有人自己帶著電腦來(lái)實(shí)驗(yàn)室讓我們做分析。今年早些時(shí)候,有個(gè)20出頭的小伙子開(kāi)著一輛奧迪R8來(lái)到了我們赫爾辛基的總部。他叫Jens Kyllönen是一個(gè)職業(yè)撲克牌玩家,經(jīng)常參加現(xiàn)場(chǎng)的比賽和一些線上的比賽。他在這個(gè)領(lǐng)域很厲害,去年贏了250萬(wàn)美元。

[[92012]]

為什么這么牛逼的撲克高手會(huì)來(lái)我們實(shí)驗(yàn)室呢.聽(tīng)一下他的故事:

去年九月份Jens在巴塞羅那參加歐洲撲克巡回賽。他住在一個(gè)五星級(jí)酒店里，白天在酒店比賽,中間休息他回房間發(fā)現(xiàn)自己的筆記本不見(jiàn)了。然后他就去朋友那邊看看是不是朋友借走了，回來(lái)的時(shí)候發(fā)現(xiàn)筆記本又出現(xiàn)了。所以就覺(jué)得事情有些不對(duì)勁，而且電腦啟動(dòng)有點(diǎn)不正常。Jens在當(dāng)時(shí)論壇里發(fā)帖子講述了這個(gè)事情： 

他覺(jué)得自己的電腦會(huì)不會(huì)有問(wèn)題，讓我們給分析一下。對(duì)于那些利用利用電腦進(jìn)行線上比賽的撲克玩家來(lái)說(shuō)，電腦的安全當(dāng)然非常重要。所以我們接受了這個(gè)調(diào)查，做了一個(gè)完整的鏡像備份之后，開(kāi)始了深入的分析。

很明顯他的直覺(jué)是非常正確的。沒(méi)過(guò)多久我們就發(fā)現(xiàn)他的筆記本被安裝了一個(gè)木馬(RAT)，木馬安裝的時(shí)間跟筆記本失蹤的時(shí)間很吻合。攻擊者應(yīng)該是通過(guò)usb存儲(chǔ)設(shè)備來(lái)安裝木馬的而且設(shè)置成了開(kāi)機(jī)自動(dòng)啟動(dòng)。木馬是一種允許攻擊者遠(yuǎn)程控制和監(jiān)控電腦的程序，可以看到電腦屏幕以及任何被感染電腦上發(fā)生的事情。

下面通過(guò)圖片說(shuō)明一下這個(gè)木馬的工作方式。第一個(gè)截圖是攻擊者看到的自己的比賽屏幕。跟其他比賽選手一樣，只能看到自己的牌型。

受害者感染了木馬之后，攻擊者就可以看到對(duì)手的配型，這里是兩個(gè)Q。

據(jù)我們所知這種攻擊很常見(jiàn)，而且任何在線撲克比賽都有效。這個(gè)木馬是用java寫的，可以運(yùn)行在多個(gè)平臺(tái)(windows，Mac OS，Linux)。

下圖是截取受害者屏幕的代碼片段。

分析完Jens的筆記本之后，我們看是尋找看看是不是有其他人的電腦也被感染了。不出所料，另外一個(gè)專業(yè)撲克玩家Henri，跟Jens在一個(gè)房間比賽的，也感染了同樣的木馬。

這不是第一例針對(duì)職業(yè)撲克玩家的定制木馬。我們調(diào)查過(guò)幾個(gè)案例，曾經(jīng)成功竊取了幾十萬(wàn)歐元。值得注意的是這些案例都不是在線的攻擊，而是通過(guò)物理的方式攻擊了受害者的電腦。

這種狀況也來(lái)越多，所以我們給這種攻擊起了一個(gè)名字叫白鯊攻擊(Sharking)，用來(lái)代表針對(duì)高端撲克玩家的攻擊。

那么最后，我們從這個(gè)故事中得到的啟發(fā)是什么呢。如果你有一個(gè)筆記本用來(lái)操作大量的錢，那么一定要好好看好它。如果要暫時(shí)離開(kāi)，首先要鎖定電腦。硬盤最好加密，避免離線訪問(wèn)。不要用它來(lái)上網(wǎng)打游戲，單獨(dú)買一個(gè)筆記本吧。現(xiàn)在筆記本那么便宜。不管你是職業(yè)撲克玩家還是商業(yè)領(lǐng)袖，采取這些措施還有還是必要的。

原文地址：http://www.f-secure.com/weblog/archives/00002647.html