近日，McAfee公司指出，攻擊Google的黑客使用了前所未有的戰(zhàn)術(shù)，組合了加密、隱秘編程技術(shù)和IE中的未知漏洞，意圖是竊取Google、Adobe和許多其他大公司的源代碼。

1、黑客攻擊水平相當(dāng)高超

該公司威脅研究副總裁Dmitri Alperovitch說：在國防工業(yè)之外，我們從未見過商業(yè)行業(yè)的公司遭受過如此復(fù)雜程度的攻擊。攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進(jìn)了公司網(wǎng)絡(luò)內(nèi)部，并巧妙掩蓋自己的活動(dòng)。在掩飾攻擊和防范常規(guī)偵測方法上，他們的加密非常成功。我們從未見過這種水平的加密。非常高超。

McAfee之所以將這種攻擊命名為Auroro（極光），是因?yàn)樗麄儼l(fā)現(xiàn)，黑客在將惡意代碼編譯為可執(zhí)行文件時(shí)，編譯器將攻擊者機(jī)器上的路徑名插入代碼中。

在IE漏洞被曝光后，微軟很快發(fā)布了針對(duì)性的安全建議書。而McAfee也在其產(chǎn)品中增加了偵測這種攻擊所用惡意代碼的功能。

2、黑客攻擊過程異常復(fù)雜

雖然最初的攻擊始自公司雇員訪問惡意網(wǎng)站，但是研究人員還在試圖確定網(wǎng)站的URL是通過郵件、聊天程序還是其他方式，比如Facebook或者其他社交類網(wǎng)站。

當(dāng)用戶訪問惡意網(wǎng)站的時(shí)候，他們的IE瀏覽器將被襲擊，自動(dòng)而且秘密地下載一系列惡意代碼到計(jì)算機(jī)中。這些代碼就像俄羅斯套娃那樣，一個(gè)跟著一個(gè)地下載到系統(tǒng)中。

Alperovitch表示，最初的攻擊代碼是經(jīng)過三次加密的shell code，用來激活漏洞挖掘程序。然后它執(zhí)行從外部機(jī)器下載的程序，后者也是加密的，而且會(huì)從被攻擊機(jī)器上刪除第一個(gè)程序。這些加密的二進(jìn)制文件將自己打包為幾個(gè)也被加密的可執(zhí)行文件。

其中一個(gè)惡意程序會(huì)打開一個(gè)遠(yuǎn)程后門，建立一個(gè)加密的秘密通道，偽裝為一個(gè)SSL鏈接以避免被偵測到。這樣攻擊者就可以對(duì)被攻擊機(jī)器進(jìn)行訪問，將它作為灘頭陣地，繼續(xù)進(jìn)攻網(wǎng)絡(luò)上的其他部分，搜索登錄憑據(jù)、知識(shí)產(chǎn)權(quán)和其他要找的東西。

McAfee因參與攻擊調(diào)查，從被攻擊公司那里得到了攻擊所用的一些惡意代碼副本，并在幾天前加強(qiáng)了自己的產(chǎn)品。

3、攻擊不同公司方法也不同

對(duì)于另一家安全企業(yè)iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬，Alperovitch表示，他發(fā)現(xiàn)的惡意代碼此前任何反病毒廠商都不知道。

iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程序的漏洞，而Alperovitch說，他調(diào)查的公司里沒有發(fā)現(xiàn)這種情況。但他表示攻擊不同公司的方法可能不同，不限于IE漏洞。

4、黑客目標(biāo)直指公司源碼庫

當(dāng)黑客進(jìn)入系統(tǒng)后，他們將數(shù)據(jù)發(fā)送給位于美國伊利諾依州和得克薩斯州以及中國臺(tái)灣的指揮控制服務(wù)器。Alperovitch所沒有識(shí)別到美國的系統(tǒng)牽涉到這次攻擊，也沒有提到攻擊者的戰(zhàn)果。但Rackspace報(bào)告他們無意中在攻擊中發(fā)揮了少量作用。而iDefense則表示攻擊者的目標(biāo)是許多公司的源碼庫，而且很多情況下都成功得手。

5、黑客攻擊的時(shí)機(jī)非常好

Alperovitch說攻擊看上去是從12月15日開始的，但也有可能更早。似乎結(jié)束于1月4日，那一天，用來與惡意代碼傳輸數(shù)據(jù)的指揮控制服務(wù)器被關(guān)閉。并且，我們不知道服務(wù)器是由攻擊者關(guān)閉的，還是其他組織關(guān)閉的。但是從那時(shí)起，攻擊停止了。

Aperovitch還指出，攻擊的時(shí)機(jī)非常好，是在假日期間，公司的運(yùn)營中心和安全響應(yīng)團(tuán)隊(duì)人手很少。攻擊的復(fù)雜程度令人印象深刻，是那種此前僅針對(duì)國防工業(yè)的攻擊類型。一般對(duì)于商業(yè)部門，攻擊只是為了獲取財(cái)務(wù)方面的信息，通常是通過SQL注入攻擊公司的網(wǎng)站，或者攻擊公司不安全的無線網(wǎng)絡(luò)。網(wǎng)絡(luò)罪犯一般不會(huì)花大量的時(shí)間把攻擊精雕細(xì)刻到如此程度，每個(gè)方面都采取混淆/加密防范。

McAfee還掌握了更多攻擊細(xì)節(jié)，但目前不準(zhǔn)備公布。他們已經(jīng)與美國執(zhí)法部門合作，并將這一問題告知美國各級(jí)政府。

【編輯推薦】

1. 企業(yè)與個(gè)人如何避免類似于谷歌攻擊
2. 卡巴斯基針對(duì)Google Adsense廣告報(bào)警一事的聲明
3. Gartner：Google繼微軟后涉足安全市場