2
本文作者: 章远岸 | 2014-09-03 09:46 |
像微软和苹果这样的公司,在发布新软件前,代码都会通过复检和测试,以免有任何漏洞。黑客们也会如此做,他们最不愿看到的就是木马破坏受害者的系统后被发现。更不希望杀毒软件监测到恶意程序。那他们怎么办呢? 将代码发送给Google的VirusTotal网站,请他们帮忙做测试。
一直有人怀疑黑客和国际间谍会使用Google的杀毒网站测试他们的程序(发起攻击前)。现在,一位安全研究员在跟踪几个知名的黑客团伙后发现,著名的国际团队组织使用VirusTotal网站来完善他们的代码,研发间谍程序。这听起来挺讽刺。
VirusTotal于2004年由Hispasec Sistemas 在西班牙创立,2012年被Google收购。该网站一直提供免费的网络服务,聚集了Symantec、卡巴斯基实验室、 F-Secure等机构研发的数十个杀毒软件。如果有人发现可疑文件,向该网站上传,通过杀毒扫描后就能确认是否为恶意文件。该网站本可以阻止网络恶意程序,但也变向为黑客提供了可乘之机,为他们的恶意工具做测试。
几年以来,Dixon一直在跟踪上传到该网站的代码,通过每一个上传文件的关联数据发现一些黑客或黑客组织,甚至能够发现袭击目标。每个上传的文件会留下用户的元数据痕迹,包括文件名称,上传时间,上传者IP地址的散列值和国籍。虽然Google隐藏了IP地址,但通过散列值仍能够发现同一个地址的上传文件。奇怪的是,Dixon监测的几个组织使用的是同一个地址,重复多次提交恶意代码。
Dixon通过他发明的算法解析元数据,他曾跟踪到了中国和伊朗知名黑客组织提交的文件数据轨迹。数月后,他监测到了黑客们修改、研发恶意代码的过程,以及躲避的杀毒软件数目。他甚至能够预测黑客们发起攻击的时间。有时他看到某些黑客测试过的代码再次出现在VirusTotal网站上,这是由受害者方发现并提交上来进行检测扫描的。
Comment Crew(注释组)黑客组织被安全研究员们称为“APT1 ”,据称基地在中国,之前还攻击过纽约时报。据报道,自2006年以来,注释组还黑过可口可乐以及某些政府机构。最近,该组织把目标转向了美国基础设施,盯上了像Telvent这样的公司,该公司控制着美国部分软件系统,包括电网、石油、天然气管道以及水下系统。Dixon跟踪的组织并不是“注释组”主要部分,而是其分支团队。
他还跟踪到了NetTraveler组织,猜测该组织基地在中国。近十年来,该组织攻击过政府、外交部门、以及军方机构。该组织显然忽略了一个事实:他们的行踪会被跟踪到。不过“注释组”曾通过不同的独立IP地址提交代码,这说明他们已经开始警觉了。
安全研究员们一直怀疑黑客利用VirusTotal做恶意代码测试,后来Dixon便开始挖掘VirusTotal的元数据。现在他不太愿意公开讨论他的元数据工作进程,因为可能打草惊蛇,让黑客们改变策略,跟踪难度就更大了。但他表示,现在VirusTotal的存档数据已经足够让其他安全研究员一起来跟踪黑客活动。本周他发布了一组用于分析元数据的代码,便于其他研究员进行跟踪工作。
Dixon称:“起初要在数据中发现黑客组织很难,我首次看到这些数据时,不知从何入手,直到我发现黑客后才知道这些来龙去脉。”
通过元数据,黑客的工作细节被Dixon一览无余。在他跟踪观察的三个月期间,“注释组”将他们的恶意程序的每一条代码都修改了一遍,并增删了一些功能。他们添加了其它攻击漏洞代码,但破坏了其它部分的攻击功能,随后又进行了各种修改测试,整个过程都在Dixon的观察之下。
2012年8月到10月观察期间,Dixon根据“注释组”修改恶意文件代码、重命名文件、移动文件内容、删除代码控制服务器的URL链接等一系列活动,摸清了他们的行动流程。黑客还测试出了两款包装工具,用来压缩恶意软件的大小,并对它进行包装隐藏,避开杀毒扫描。但这些方法只部分奏效。黑客们将能监测出他们代码的服务器减少至2到3个。只需要杀毒引擎发现不了恶意代码,就无需进行频繁更改。虽然Dixon通过杀毒引擎检测到了一些恶意代码,但是隐藏较深的恶意代码只能被人们不常用的杀毒引擎发现。
即使“注释组”有时对攻击代码进行大幅修改,但有些字符串他们从未改动过,比如用于木马与控制服务器之间交流的字符串,这让Dixon得以研发电子签名,侦测和截获目标机器上的恶意活动。他们在某些特殊攻击中的加密钥匙也从未变动过,一直使用着MD5散列加密技术中的 Hello@)!0字符串。多数时候,他们向 VirusTotal网站提交代码时只启用了3个IP地址。Dixon认为这些黑客经验不足,组织内没有严格的监管。
Dixon经常能跟踪到这些上传到VirusTotal网站的文件,并与到受害目标建立连接。有时他能够测算出代码测试结束到发起攻击所花的时间。多数时候“注释组”会在测试结束几小时或几天后发起攻击。比如2012年8月20日,一个漏洞代码在测试结束两天后出现在目标机器上。
跟踪 NetTraveler 时,Dixon也采用了相同的方式。2009年,该组织开始在VirusTotal露面,随后测试活动越来越频繁,每年的测试量成倍增加。2009年他们提交了33个文件,去年则达到391个,今年已经提交了386个文件。更让人震惊的是,他们甚至上传从受害者机器中偷来的文件。Dixon觉得这非常讽刺,这些黑客可能想测试这些文件,看在己方机器上打开前,是否会被感染。
Dixon跟踪的伊朗黑客组织于去年6月出现在VirusTotal上。一个月后,该组织上传了约1000个攻击文件,隐蔽性超强。他们甚至利用存在了两年之久的漏洞,并加以修改来躲避杀毒扫描。此外,Dixon还发现了疑似 PlugX黑客组织上传的文件。据称,PlugX来自中国,于去年开始露面,并在不断壮大。自2013年4月以来,PlugX在VirusTotal中上传了约1600个文件,每次上传都使用了不同的IP地址。
虽然黑客们在VirusTotal的活动已被曝光,但毫无疑问,他们会改良技术躲避跟踪,继续使用VirusTotal。Dixon认为这并无大碍,因为只要安全公司们保证上传的代码如有攻击可能,在代码传播之前,他们会跟踪这些代码字符串并做出相应的数字签名,做好一系列防御机制工作。
via wired
雷峰网原创文章,未经授权禁止转载。详情见转载须知。