独家连载 | 零日漏洞:震网病毒全揭秘(9)
作者:星期二, 九月 22, 20150

640.webp

你可以教会一个人编写病毒代码,但无法通过教学使一个人拥有“想知道事物工作原理”的热情

第四章 解构震网

震网病毒刚刚被报道出来的几天里,赛门铁克公司三个大洲的十多名研究员共同对它的代码进行了初步分析。很快,这件事转由钱哥、莫楚和法里耶3人小组负责跟进,其他人继续跟踪其他新出现的病毒和威胁。一个星期过去了,他们3个仍然在拆解震网病毒的“导弹”部分(missile portion),根本没来得及研究它的“载荷”(payload)。

像传统武器一样,数字武器一般也可分为两个部分:负责将恶意代码传播并安装到目标计算机上的“导弹”部分,或称为“传播系统”;以及对目标计算机实施数据窃取或其他破坏性活动的“载荷”部分。震网的载荷,是以西门子公司软件和可编程逻辑控制器(PLC)为目标的恶意代码。

看到震网这边的工作量这么大,钱哥觉得有必要说服管理层,让他们支持3人团队继续深挖这个“过气明星”。每周三,公司在世界各地负责处理病毒威胁的经理们都会召开一个视频会议,讨论当前正在处理中重要病毒的情况,以及下一步的对策。在震网病毒发现后的第一个周三,震网当仁不让的成为首要议题。

赛门铁克在卡尔弗城拥有一块九英亩大、长着棕榈树和荒漠灌木的商业用地,和一座宽敞通风的办公楼。与VirusBlockAda公司狭窄的苏式办公楼相比,这座现代化的五层建筑有着大气的挑高中庭和平整拼接的瓷砖地面,由于地下是电力和通风管道,所以走在上面会发出像敲击空心玻璃一般的叮当声。这座建筑还因采用了环保建材、能够避开加州烈日直射的阳光反射式屋顶和可为每名业主提供良好视野的玻璃外观,而荣获“能源与环境设计先锋奖”。和附近洛杉矶机场旁平淡无奇的购物中心和高速路相比,这里可以算得上一景了。

640.webp (13)

门口石牌

640.webp (14)

俯瞰中庭

视频会议室的房间很小、没有窗户,位于三楼的一个不起眼的角落,要从实验室绕几个弯才能到。房间里有3个很大的显示屏,安装在与坐着的人眼同高的墙上,前面是一排会议桌。这样,在钱哥开会的时候,就像是有人坐在他正对面一样。

640.webp (15)

视频会议室

钱哥向领导们汇报了莫楚他们前期的研究成果:代码规模庞大、加载/隐蔽文件手法老辣、还有以西门子PLC为目标的神秘载荷。他还汇报了从“槽洞”中窥见的、遭病毒感染地区的奇特分布模式。但是,他没有言明攻击背后可能隐藏的政治含义。

“我要求把法里耶抽调到我们这边,”钱哥向各位经理提出,“而且我认为我们3个人有必要继续全力攻关。”但是,有一个问题他自己也说不清楚。那就是,要把震网的代码彻底研究透,到底还需要多长时间。

一般情况下,公司的威胁研究团队每天可以分析20种恶意代码。因此,让3名顶级分析师无限期地分析一种病毒,无论如何都是划不来的。之前,这种情况只在2008年Conficker爆发的时候出现过一次。但Conficker是一种感染了全球范围内数百万台计算机、不断变形的蠕虫病毒,而且在发现初期带来了“当初为什么会有人制造并释放它”等一系列待解难题。与之相比,震网病毒感染的计算机数量少了几个数量级,攻击目标(西门子PLC)数量更少。但是,神秘难测的代码召唤着人们进一步探索的好奇心,经理们最终还是同意了钱哥的要求。“不过,你要时刻向我们报告研究进展。”他们没想到,在未来几个月里,关于震网病毒的讨论主导了几乎每周的例会。

钱哥团队抓住了这次深挖震网代码的机会,像打了鸡血一样全身心投入其中。随着研究的深入,他们逐渐意识到,这里面完全是一片陌生的领域,没有人能帮上他们的忙。

赛门铁克是个国际化的大企业,但钱哥和莫楚的工作环境是一个很小的办公室,与外界几乎隔绝。这里是卡尔弗城的赛门铁克威胁情报实验室,类似于生化防御实验室,研究员们可以在一个实验网络中运行恶意代码。这个实验网络与公司办公网络物理隔离,是一个用来在可控环境下观测病毒行为的沙盒系统。要进入这个位于一楼的实验室,员工要先后经过多层安全门,每进一层门,就多一些限制。最后一扇门只允许很少的几个人进入,而且内部的实验网络是与外部计算机物理隔绝的。在这里,禁止使用任何光盘、U盘等移动介质,防止有人无意中通过移动介质把遍布实验室的病毒带到外面,造成病毒样本泄漏。

“病毒智能实验室”这个名字给人一种无菌工间的印象,似乎里面都是穿着白大褂、弯着腰观察显微镜和切片的科学家。但赛门铁克的实验不属于任何一种传统的“实验室”。里面的工位上什么仪器都没有,只有几名一天到晚盯着显示器的员工,系统化地做着看起来很乏味的事情。墙上没有一张图;没有供员工发泄多余精力用的玩具枪或其他办公室游戏;没有摆放营造家庭氛围的植物,连假的都没有。唯一一点福利性的绿色景观,是可以通过一面墙的窗户看到长满绿色植被和树木的小山,完全就是那种仿生态科技园区风景,专门给关在屋子里上班的人看的。

莫楚的办公隔间里没有任何个人物品,只是旁边挂着一副北美大峡谷的全景特写照片,沐浴着粉色和淡紫色的落日余晖。这是去年莫楚和父亲一起旅行时候照的。办公桌上有两台接入实验网络的计算机,还有一台专门用来阅读邮件和上互联网的计算机。但这台计算机只有显示器和键盘、鼠标3种外设,通过弯弯曲曲的数据线跟藏在实验室外面某个机柜里的主机和硬盘相连,确保这台计算机无法连接实验网络。

钱哥的办公隔间和莫楚靠着同一面墙,但稍显个性化一些。隔间门上贴着一些艺术明信片,挂着几面海盗旗,还有一个釉面装饰的门签,上面写着他名字的双关语:钱•鲁那提克(法语直译:Chien-狗,Lunatique-喜怒无常的)。把这句法语直译出来的意思是“小心狗”(Beware of Dog),但钱哥更喜欢文艺的译法:“狂犬”(Mad Dog)。

钱哥今年39岁,但看上去就像29岁。他个子很高,身形瘦长,戴金丝眼镜,笑起来脸颊上有一对迷人的深酒窝,讨论问题的时候,一激动就会语速加快。钱哥在安全业界一直做得很棒,但在这个喜欢通过炫技而出名的行业里,他反而非常谦虚低调,偏爱埋头研究而不是抛头露面。

三个人当中,钱哥在公司的时间最长。这是他大学毕业后的第一份工作,但完全是碰运气进来的。90年代初,他在加州大学洛杉矶分校,他选的专业是遗传学、分子生物学和电气工程,像莫楚一样打算投身科研事业。但在1996年毕业后,他跟着几个朋友一起来到了赛门铁克,打算挣点钱哥供自己读研究生。没想到,一呆就是这么多年。

那时,网络安全还是一个新兴领域,不需要接受专业培训就可以找到一份工作。所以,钱哥刚上班的时候根本不知道什么是病毒,但他很勤奋,自学了大多数病毒采用的X86汇编语言,就甩开膀子干起来了。最好的病毒分析师,未必出自训练有素的代码工程师。工程师是建造代码的,而分析师是拆解代码的。虽然信息安全是一个以培训课程和认证为基础的职业领域,但毫无经验的钱哥还是凭借他永不满足的好奇心、猜解谜题和“打破砂锅问到底”的性格,在实习生中脱颖而出。你可以教会一个人编写病毒代码,但无法通过教学使一个人拥有“想知道事物工作原理”的热情。最顶级的研究者具有强迫症般的倾向,不挖出代码中的秘密,他们绝不善罢甘休。(待续)

译者:李云凡

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!