你能想象到的最变态的加解密算法是怎样的?让高斯秀给你看。要想在攻击行动中万无一失,如此行事方为王道……
第十五章 火焰(接上)
为了预防载荷暴露,攻击者还采取了另一种保护措施。我们知道,震网载荷的解密密钥是放在恶意文件内部的。而要想解密出高斯的弹头,必须根据目标计算机配置数据,动态生成解密密钥。
为同时确保“不会误感染非目标计算机”和“即使发现也无法暴力破解”这两个目标,攻击者精心设计了非常变态的密钥生成机制。首先,高斯会收集目标计算机的特定配置数据,包括某些目录、程序文件夹和其他本地数据,然后将它们的文件(夹)名跟“Windows Program Files文件夹中每个子文件夹名”一个接一个的连接起来,生成一个很长的字符串。之后,高斯会让字符串与一个特殊的值相加,然后用MD5哈希算法运行10000轮,每一轮的结果作为下一轮的初值。只有最终生成的哈希值与预定的目标值相等,高斯才会执行下一步动作。
算出满足条件的终值后,高斯仍然不会立即释放载荷,而会把它与另一个值相加,然后把相加结果作为初始值再次进行10000轮哈希运算。这样得到的运算结果,才是解密弹头的密钥。解密完成后,高斯会用同样的配置数据生成同样的长字符串,令其与另一个特殊值相加,通过运算生成第二部分代码的解密密钥,然后再次重复这一动作,生成代码第三部分代码的解密密钥。
要想在攻击行动中实现全程可控、万无一失,如此行事方为王道。与高斯相比,震网的载荷在反破解方面实在是不堪一击,研究者轻轻松松就完成了解密,并判断出了它的功能。而高斯载荷所具有的变态加密机制,相当于给弹头装了一层金钟罩,谁都无法将其破解。
实际上,尽管卡巴斯基曾对解密密钥中的配置信息实施数百万次暴力配对,但仍然没能算出正确的密钥。他们肯定会想,为什么攻击者会费这么大劲保护高斯的载荷呢?要知道,高斯用来入侵银行和金融网络的木马可不是什么善类,所以,不能排除它在除了监控资金流动之外,可能还有着像震网、清除者那样的破坏力,或其他的敏感功能。
研究员们面对高斯的加密载荷无计可施,只好停下了破解高斯的步伐。但在分析的过程中,他们幸运的发现了另一个恶意程序——SPE的样本。
SPE是与火焰指挥控制服务器通信的4种恶意程序之一,且曾在几个月前与他们建立的火焰槽洞进行过联系。他们发现,SPE是一个独立的模块,但并非一个完整的攻击体系,既可以单独使用,也可以与火焰或高斯协同行动,以加强其侦察能力。由于SPE是卡巴斯基团队发现的“高斯和火焰之间的直接连接点”,因此将其命名为“迷你火焰”。以前,他们曾认为高斯和火焰是由同一批攻击者分别发起的两场各自独立的攻击行动,但迷你火焰的出现推翻了这个假设。紧接着,卡巴斯基甚至在一台黎巴嫩的计算机上同时发现了这3种恶意程序:火焰、高斯和迷你火焰。
火焰可以在染毒计算机上建立后门,并负责收集情报数据,使攻击者能远程检测其配置信息、并掌握目标在其所处网络中的位置。据估计,攻击者可能会先使用火焰或高斯对目标实施感染,收集其基本情况数据并判断其价值。如果发现确有需要实施“直接控制、清除特定数据或进一步网络探测”等行动的高价值目标,攻击者才会将迷你火焰安装到目标上。而当迷你火焰进入目标之后,攻击者就会通过指挥控制服务器向目标发送一个模块,用它清除之前使用的火焰等侦察工具,从而尽可能消除行动的痕迹。
卡巴斯基发现,感染迷你火焰的计算机一共只有50台左右,主要位于以伊朗为首的中东地区,在立陶宛和美国也有分布。在染毒计算机上,他们共发现了创建于2010年10月至2011年9月间的6个变种。但是,根据模拟火焰与指挥控制服务器间通信协议的创建时间推测,第一个迷你火焰可能与震网、毒区和火焰共同创建于2007年。奇怪的是,在2012年夏天一段长达4个月的时期内,迷你火焰共与卡巴斯基的槽洞进行了14000次通信,但在6月4日至7日这4天当中,它们之间连1次通信都没发生,这让卡巴斯基的研究员感到不可理解。
随着最后一个模块的曝光,一系列具有国家背景的网络武器库全部大白于天下,卡巴斯基的研究员们总算可以喘口气了。因为,拉伊乌团队已经得出了非常详尽的研究结论,研究人员完全可以把精力转向其他工作了。
正当他们一项接一项的发布研究成果时,业内却出现了怀疑的声音:卡巴斯基这么不务正业,到底有什么动机?就像赛门铁克之前曾因“曝光震网是对美国的不忠,伤害了美国的国家利益”而饱受指责一样,有人怀疑,位于莫斯科的卡巴斯基实验室在俄罗斯情报部门的授意之下,有意曝光并破坏西方的网络侦察行动。
然而,拉伊乌说,他们所从事的一切研究活动,从未受到任何政府或情报部门的影响或指导。他们认为,团队的所作所为没有任何政治考量,和赛门铁克的研究员一样,他们唯一的目标就是运用自己逆向工程的技能,为保护客户安全提供服务,并为整个计算机行业提供安全保障。而且,实际上,他们用来曝光“震网-火焰团伙”的研究活动,是与公司自身的商业利益相悖的。当时,卡巴斯基实验室正在大力开拓美国市场,公司创始人尤金·卡巴斯基则为之整日奔波,以求在华盛顿和以色列广结善缘。想要讨好美以两国政府的尤金,想必也是心存块垒。他在外面屈尊跪舔,研究员们却在家里揭人老底。
尤金·卡巴斯基
影响他们工作的,还不仅仅是公司的商业利益。之前赛门铁克的研究员在分析震网的过程中,有可能曾经受到以色列、美国甚至伊朗情报部门的秘密监视,只不过没抓到确凿证据而已。而拉伊乌非常确定,2012年春天,他在慕尼黑的一个研讨会上遭到了跟踪。那时,他们刚刚发现火焰,但尚未公开发布消息。拉伊乌注意到,当他在慕尼黑某酒店登记入住时,有个人在前台鬼鬼祟祟,好像是要偷窥他的房间号码。之后,他又在去洗手间途中和回宾馆房间途中,两次发现有人尾随。当他跟同事们谈到这件事的时候,同事们说他们也有同样的经历。他怀疑,跟踪他们的人是外国情报部门的特务,却又无从考证。再之后,有3个以色列人来找过他了解关于毒区的事情,还有1位女士专门来问他,卡巴斯基能不能把硬盘上被删除的文件恢复出来。后面这个问题的确有点令人担忧,因为卡巴斯基正在努力复原之前被“清除者”病毒删掉、来自伊朗石油部的文件。
另一个残酷的现实是,震网的出现,改变了以病毒查杀为核心的网络安全行业的生态环境。以前,研究人员在曝光恶意代码时,面对的唯一风险就是,他们可能会遭到愤怒的网络犯罪分子的报复,并因此丢掉饭碗。但曝光具有国家背景的恶意代码,则会给他们带来更大的隐忧。拉伊乌决定,为了他刚组建不久的家庭,不能再像以往那样高调了。慕尼黑跟踪事件后,他表示不再参与公开披露国家背景恶意程序的媒体事务,把相关职责转给了其他同事。
不久之后,卡巴斯基的研究员有意识的将注意力从“震网-毒区-火焰”项目转向了另一个事件。有人认为,这个事件具有俄罗斯官方背景。这场被称为“红色十月”的网络攻击,主要目标是东欧和中亚地区国家的外交部门、政府和研究机构,主要目的是收集敏感文档和地缘政治情报。但拉伊乌和同事们怀疑,这更可能是俄罗斯网络犯罪分子或“间谍个体户”为谋取商业利益而盗取情报的行为,而非由俄罗斯官方策动。
表面上,经过这个事件,卡巴斯基团队一劳永逸的迈过了“震网团伙”这道坎,别人也不会再为此事为难他们了。但这并不意味着所有人都不再关注震网。接下来的事实证明,震网的故事还有续篇,而且不乏精彩。(待续)
译者:李云凡
