一个“有故事”的漏洞
黑客大牛余弦曾经说过:
每个漏洞都像一个孩子,我看着它出生,璀璨地爆发,然后又归于沉寂。就好像我的生命和它产生了某种联系。
如果一个漏洞只是被白帽子发现,然后直接上报官方修复,那么无论它有多么凶猛,终其一生也不可能“璀璨爆发”。它就像一个天生的囚徒,在短暂的生命里始终负着着手铐和脚镣。
然而,这个世界偏爱“有故事”的漏洞。就像逃离肖申克监狱的银行家安迪,就像《越狱》中性感迷人的迈克尔。
8651,是一个特殊的漏洞。它的特别之处不仅在于它非常危险,也不仅在于它是Adobe 2015年公布的最后一个漏洞。更重要的是——它引发了一次超出预计的紧急升级,因为这个漏洞已经被人“用过”。
【Adobe官方网页截图,承认漏洞已经被利用】
这次极端反常的升级行为被一些安全研究员注意到,他们在Adobe的升级日志中看到了一条“特别提示”:
该漏洞已经被用于有限的、有针对性的攻击。
然后,Adobe在日志中大方地鸣谢了提交漏洞的研究员:来自华为公司的 Kai Wang 和 Hunter Gao。
【Adobe官网有关鸣谢华为的字段已经删除,在其日文网站上还可以看到】
故事就这样猝不及防地开始了。一个不是以安全研究为主业的公司发现了一个高危漏洞,并且称这个漏洞已经被用于“有针对性”的攻击。此情此景,让人忍不住联想:“其实华为就是这个受害者吧。”对于媒体的猜测,华为摆出了一张扑克脸。耐人寻味的是,几天之后“猪队友”Adobe的网站上悄然删去了有关华为的那段“特殊鸣谢”。
纳尼?黑客可能在搞中国公司?此事一出,天朝的各大安全公司个个振奋,摩拳擦掌准备“搞一票大的”。不过,整个事件除了“出尔反尔”的Adobe和“守口如瓶”的华为,似乎没有其他的突破口。
面对这种信息极度缺乏的“威胁情报”,找到线索成为了“破案关键”。为了一点信息,苦逼的安全研究员往往要使出浑身解数——时而化身特工,时而化身民工。这一次幸运之神降临在了微步在线身上。
微步在线CEO薛锋脸上绽放着神秘的微笑,向雷锋网讲述了他的重大突破。他依靠这张混迹了安全圈十多年的脸,从“打死都不能说是谁”的线人手里拿到了攻击者使用的“弹药”——一个Doc文档。这个Doc文档被发送给某企业的高管,在文末附上了一个链接,这个链接会下载一个Flash文档,利用前文提到的漏洞,这个文件会自动向电脑里植入木马。
打开文档就能看出,黑客对攻击对象非常熟悉,文字内容也全部合情合理,让人很容易就会打开文末的链接。只要下载了链接中的文件,就中了黑客的圈套。
出于对线人安全的考量,薛锋没有展示这个Doc文档。不过他证实:“这次攻击的目标是一家通信企业。”
薛锋和他的团队可能是世界上绝无仅有的怀着喜悦心情下载这个木马的人。一旦活捉这个木马,他们就可以分析出黑客的攻击细节。以薛锋的经验看,这个木马不仅狡猾,异常谨慎,而且技术高超。
1、木马本身“做工”极为精巧,它掏空了一个开源工具,并且把攻击程序塞进开源工具之内。从外表看,这就是一个钥匙生成器,而实际上这个生成器还可以工作,只不过在正常工作之余,顺便对你进行“致命一击”。
2、木马会对电脑上的杀毒软件做详尽的排查。从逆向出来的代码来分析,这个木马手里有一份包括BAT3、卡巴斯基等近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件,木马都会选择蛰伏,不会进行攻击动作。
3、木马会对运行环境进行“沙箱测试”。所谓沙箱,就是安全软件为了防止病毒破坏而对可疑文件进行隔离的运行环境。木马一旦发现自己运行在沙箱之中,它也不会进行任何攻击动作。
4、这个木马的攻击行为调用了HTA文件。这种文件极为冷门,很少有黑客会选用这个微软1999年引入的文件类型。从这一点上看,木马的制作者对于微软系统有着非常深刻的分析。
如果不是“东窗事发”,这个程序看起来完全不像一个凶残的木马。就像某个变态杀人狂,平日里看起来就是一个文质彬彬的程序猿。
掌握了如此详尽的攻击细节之后,薛锋把这些手法和他手上掌握的资料做了比对。他的脑海中浮现出了一个臭名昭著的黑客组织——“暗黑客栈”。
暗黑客栈,让人联想到做人肉包子的孙二娘。但是这个毫不低调名字并不是黑客自己取的,它来自于首次发现这个组织的卡巴斯基。之所以叫暗黑客栈,是因为他们的主要攻击手法是侵入酒店的Wi-Fi网络,对入住的大公司高管的电脑进行攻击。具体的攻击方法,可以参考雷锋网之前的文章《开房有风险?黑客组织“暗黑客栈”盯上中国高管》。
根据这个组织以往的“案底”来看,他们进攻的主要目标都集中在亚洲,而且以中国为主,零星分布在日本、韩国和东南亚。但是,这并不能证明他们的攻击对象国籍非常分散。由于他们进攻的IP多为酒店,所以很难确定他们的目标究竟是外国人还是在国外出差的中国人。严格来说,这是第一次有中国安全公司掌握有关暗黑客栈如此详尽的信息。仅从本次攻击来看,他们的目标非常明确——中国企业。比对以往的资料来看,他们有可能一直在搞中国企业。
【微步在线发布的本次攻击特征和历史数据比对】
这让人想到了知道创宇CEO赵伟的一段自白:
每次我到国外演讲,都会遇到责难。他们指责中国黑客对他们进行了大量的网络攻击。事实上中国遭受的攻击更多,我感到很委屈,恨我们有这么多黑客,却拿不出遭受攻击的证据。
种种迹象表明,暗黑客栈并不是“海淀银枪小霸王”之类的街头混混级别,而是有组织有背景的“山口组”。如此说来,这次活捉“大鱼”暗黑客栈,可以让赵伟“瞑目”了。事实上,这并不是中国安全人员第一次定位针对中国的APT(Advanced Persistent Threat 高级持续性威胁)。2015年,360揪出了针对中国海事机构持续攻击了三年的黑客组织“海莲花”,把它定性为:国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。
【海莲花(OceanLotus)使用的域名和服务器分布图】
然而,薛锋认为暗黑客栈的Level并不比海莲花低。
如果说我们(中国安全公司)的水平是大学生的话,一般的黑客组织充其量是小学生。但暗黑客栈是和我们一样的大学生。
那么,只剩下了最后一个问题:暗黑客栈机关算尽,究竟想要从中国得到什么呢?
黑客的行事方式可以分为两种:
精准型——指哪打哪。以获得特定信息为目标,并不直接敛财。穷技术之所极,为达成更高的目标创造可能性。类似于詹姆斯·邦德之类的特工。
撒网型——广撒网,多敛鱼。用通用的扫描方法直接盗取大量的信息或财物。虽然可能产生可观的直接经济效益,但是这种黑客并无远谋,最多算是没有背景的犯罪分子。
暗黑客栈显然属于前者。在他们的木马攻击过程中,有些行为耐人寻味。例如:
1、他们会经常改变活动时间,让追踪者无法用作息时间来推断黑客所在的时区。
2、他们会用不同语言的操作系统来编码,让追踪者无法判断其国籍。
3、每次攻击行为之后,程序会自动抹掉攻击痕迹。
虽然历次攻击都是针对商业公司,而不是政府,但这些行为特征已经凸显出了一定的政治对抗性。而且,本次攻击中所采用的0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是暗黑客栈自己挖掘的,那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的,则需要雄厚的资金实力。薛锋判断,想要做到“暗黑客栈”的成绩,至少需要百万级别的投入。
那么,这些黑客究竟来自那个国家呢?他们的背景是什么呢?
薛锋说,对于暗黑客栈的人员,微步在线已经有了基本的定位,对他们的背景也有了合理的判定。但是,现在并不是说出来的最佳时机。
但是现在敌人在明我在暗。如果现在暴露了我掌握的全部信息,那么敌人就会变得更加难以对付了。事实上,由于漏洞的暴露和“白帽子”的追踪,暗黑客栈已经关闭了服务器的一些接口。我们需要时间来做更多的研究。
暗黑客栈在变得更加警觉,安全研究员的难度在加大。但让人并不愉快的现实是:对于网络空间里国家之间的攻击、企业之间的攻击,并没有有效的方法实行反制。对于这种永难禁止的攻击,能做的只有加强守卫。对于暗黑客栈来说,也许只有详细曝光他们历次的犯罪轨迹,才是令其收手的最好武器。
在此之前,这台黑暗的服务器还将继续运转。