独家连载 | 零日漏洞:震网病毒全揭秘(49)
作者: 日期:2015年11月18日 阅:3,009

640.webp

本恰特意识到自己能力有限,必须找些好帮手才行。于是,“毒区”代码又一次来到了钱哥、莫楚和法里尔的手上。破解震网那么难都过来了,小小的毒区算什么?团队轻踩油门,一个周末搞定……

第十四章 震网的子孙(接上)

本恰特立即把他的发现写成了一封电邮,发给了巴图斯。这段时间,他们一直处于一种比较轻松的工作状态中,有时间就分析一下代码,没时间就把它放着。但现在,他开始意识到,必须尽快查出攻击的目的,并把相关信息公诸于众,以便让更多的人参与进来。当年赛门铁克发布了震网的研究报告后,有人就在疑惑,为什么美国没有从中作梗,不让他们公开呢?而这一次,本恰特也有着类似的担心:一旦他公开研究结论,很可能会有人出来对他横加干涉。

周一,本恰特找来了他的两个同事莱文·布詹(Levente Buttyán)和戈博·派克(Gábor Pék),组建了一个3人团队。他们清楚,仅凭他们自己,还不具备深入分析这个复杂恶意代码的能力。因为,他们没有分析恶意代码的经验,就连用于逆向工程的调试工具都没怎么用过。但是,他们也明白,必须要做一些先期的分析工作,才能说服其他更有经验的研究者来关注它。在这个事件中,CrySyS实验室在计算机安全领域的地位有点类似VirusBlockAda公司,非得拿出一些过硬的证据,才能让别人相信,这场攻击与震网之间有紧密的联系,并着手开展进一步研究。

于是,他们确定了下一步工作的目标和时限:10天之内,尽量找到新攻击代码与震网代码之间的更多相似点。在工作的过程中,他们惊讶的发现,两者之间的相似之处比他们预想的还要多。10天之后,他们制作了一部60页的研究报告。经过商议,巴图斯同意本恰特向赛门铁克方面共享报告,条件是隐去实验室的名称。他担心,一旦公众看到CrySyS的名字,就会联想到受害者究竟是谁。

拿到这份报告的有,政府的计算机应急响应小组,赛门铁克的钱哥团队,一位在迈克菲(McAfee)公司工作的匈牙利籍研究员彼得·斯泽(Péter Szor),一位能帮助吊销恶意代码中数字证书的威瑞信(VeriSign)公司员工,还有一位微软公司的研究员。当本恰特亲手将一封封邮件发送出去时,心中不禁波澜起伏。“我非常激动,”他说,“我抛出了砖,却不知会引来怎样的玉。”

10月14日星期五早上,钱哥起床后,习惯性的打开手机查看收件箱,其中有一封邮件吸引了他的注意。邮件标题是“重要恶意程序”,带有一个附件。发件人是匈牙利某个不知名实验室的两名计算机科学家。邮件中,他们用生硬的英文写道,发现了一场与震网“高度相似”的新攻击。他们将它称为“毒区”,因为染毒计算机上的临时文件都以“~DQ”为文件名起始字符。此外,他们还将它称为“开启了震网故事的新篇章。”

“由于缺乏处置类似事件的经验,我们无法判断下一步该采取何种行动,”他们写道,“我们希望和包括贵方在内的其他专家开展合作。我们将提供恶意代码的样本,并愿意参与进一步的研究分析工作。”

钱哥把这封邮件转发至公司事件应急小组的其他成员,并单独给莫楚发了一条阅读提醒。随后,他怀着谨慎而激动的心情,把邮件递交给管理层。

过去几年,钱哥多次收到关于发现新型震网病毒的误报,这让他提高了对类似邮件的警惕。作为在知名反病毒公司上班的安全专家,对于周围朋友和邻居们一遇到困难就向他求助,他已经习以为常了。但在他带领团队破解震网病毒的工作公开后,出现了新的情况:偶尔会有一些陌生人跟他联系,告诉他,政府正在用震网之类的恶意程序监视他们。一次,有个家伙给他寄来了一封信,里面有50页的屏幕截图和网络流量日志的打印稿,还用黄色线条把重点标了出来。其中一页上,他在一个包含“en/us”字样的网址上画了一个圈,说这就是美国政府正在监视他的证据。还有更令人啼笑皆非的事。一位写烹饪书的女作家,曾用一种激进分子和犯罪分子用来隐去身份的匿名加密邮件工具Hushmail给钱哥发过几封邮件。看到他对此视而不见,她又找到了钱哥的电话号码,发短信提醒他。据她所言,她确信,有人正在用类似震网的病毒对她进行监视。理由是,每次去图书馆、把自己的U盘插入图书馆的计算机后,过不了多久家里的计算机也会感染同样的病毒。

尽管钱哥对来来往往的错报、误报一笑置之,但却不会错过任何新消息。他打开这份来自匈牙利的报告读了两页,立即发现了它的价值。他非常肯定的说:“这绝对是震网的亲戚。”

虽然缺乏分析恶意代码的经验,尽管一再抱歉说“还有诸多问题尚待解决”,匈牙利科学家们仍然努力做出了一部令人眼前一亮的报告。报告中包括多组反编译后的代码段,向读者展示出毒区与震网的相似点,还制作了一个标示两场攻击间10多个相同点/相似点的详细列表。毒区中没有针对PLC的攻击代码,甚至在键盘记录器之外没有任何载荷代码。但是,震网创作者的特征在其中俯首皆是。毒区要么是与震网同出一门,要么是有人用与震网相同的源码和工具制作出来的。

钱哥迅速给本恰特发了一个回执,然后开始焦急的等待莫楚到来,心中五味杂陈。他们一直期盼着,有一天自己或其他人能找到解答震网遗留问题的更多线索。而毒区的发现,似乎正是他们所希望的。然而,当初他们夜以继日的干了几个月,才完成了震网的破解,这一次的恶意代码,会不会又是一块难啃的硬骨头呢?

莫楚看到钱哥发来的消息时还没完全睡醒,但当他打开附件、看到研究报告时,顿时睡意全无。跃然而出的网络武器,在短短的一瞬间,就驱散了他脑海中的雾霭。“我得去趟办公室,”他一边对女友说着话,一边披上衣服冲出家门。

一路上,他边开车边整理思绪。回想起刚才看到的报告,他有点不敢相信,震网幕后的团队仍在活跃。在媒体聚焦震网事件、曝光美以计划之后,攻击者应该会保持低调、暂避风头。至少,他们会改头换面,用一些新手段和新代码,以确保一旦被发现,也不会被追查到与震网同源。但从这份来自匈牙利的报告来看,他们根本没在改变代码特征方面花什么心思。这帮家伙真有种。只要是他们认准的事,就下狠手去做,根本不在乎有谁把他们识破。还有一种可能,就是他们已经在毒区代码上押上了重注,即便在震网遭曝光的情况下仍然不愿将它放弃。

莫楚赶到公司时,钱哥和同事们已经展开了对新攻击代码的讨论。他们还联系了已经从巴黎调到南加州分部的法里尔。然后,他们下载了匈牙利人发来的毒区源代码,再次开始“全天候”的分析破解工作。他们欣喜的发现,毒区的规模比震网小得多,内部仅由几个很容易破解的文件组成。一个周末过去,他们已经掌握了新攻击代码中的绝大部分功能细节。

本质上,毒区是一种远程访问木马(RAT),为攻击者提供一个可持续控守染毒计算机的后门。一旦后门成功安装,毒区就会与指挥控制服务器建立通路,以便让攻击者从服务器上下载击键记录器或其他恶意程序,进一步增加攻击代码的功能。

很明显,毒区的意图与意在破坏的震网不同。它只是一个间谍工具。如果说震网像一个用来摧毁敌人的冷血杀手,那么毒区就像一个前哨侦察兵,为后续的攻击行动提供情报支持。赛门铁克怀疑,毒区的侦察,是另一项类似震网的攻击的前奏。然而,毒区的生存期受到了严格的限定,它将在感染成功的36天后进行自毁,擦除在染毒计算机上的所有痕迹。(待续)

译者:李云凡

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章