Google的一名雇員點擊即時消息中的一條惡意鏈接，引發(fā)了一系列事件導致這個搜索引擎巨人的網(wǎng)絡被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

Google的信息安全經(jīng)理Heather Adkins就公司在一月發(fā)現(xiàn)的Aurora攻擊事件披露了一些細節(jié)。這次攻擊以Google和其它大約20家公司為目標，是一種高級的持續(xù)性威脅（以下簡稱APT），它是由一個有組織的網(wǎng)絡犯罪團體精心策劃的，目的是長時間地滲入這些企業(yè)的網(wǎng)絡并竊取數(shù)據(jù)。在2010年事故響應和安全團隊（FIRST）論壇大會上，Adkins說明了Google將如何建立一個事故響應團隊來實施調(diào)查，仔細地分析大量的DNS數(shù)據(jù)，從而追溯和判斷此次攻擊的范圍。

Adkins談到攻擊者實施的攻擊只有少數(shù)階段是獨特的。大多數(shù)階段，從實行社會工程學攻擊到利用IE6的零日漏洞，都是很常見的。

Adkins說，“要滲入你的網(wǎng)絡可能不需要特別復雜的操作。事實上每個階段有多難這并不是問題，問題是所需要技能、可用的工具以及技術難度。

對Google的APT行動開始于刺探工作，特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息，搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。接著網(wǎng)絡罪犯利用一個動態(tài)DNS供應商來建立一個托管偽造照片網(wǎng)站的Web服務器。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡鏈接并且點擊它，就進入了惡意站點，很快該雇員的電腦就被下載了惡意軟件。

Adkins說，“在整個網(wǎng)絡中并沒有大量的僵尸網(wǎng)絡，它們在目標系統(tǒng)中傳播地十分緩慢并且支持它們的基礎設施規(guī)模十分小”。

Adkins說該惡意軟件自身不是特別地復雜。網(wǎng)絡罪犯通過安全隧道與受害人機器建立了連接并且使用該雇員的憑證來訪問Google的其它服務器。攻擊者可以使用各種各樣的方法來竊取數(shù)據(jù)，如pass-the-hash技術（一個設計用來讀取存儲在本地內(nèi)存中的Windows憑證的工具包）、在遠程桌面保存密碼或使用keylogger工具記錄受害人的鍵盤記錄。一旦他們獲取超級用戶權限，網(wǎng)絡罪犯就可以在服務器上安裝后門來查看和竊取文件并嘗試偷偷地訪問其它系統(tǒng)。

Adkins說Google Aurora攻擊事件中使用的這種數(shù)字偽裝技術很難被發(fā)現(xiàn)。Adkins所說的這種安全技術使安全團隊意識到了滲透行為，并且開始了漫長的調(diào)查。

Adkins還說Google發(fā)現(xiàn)最有用的方法是系統(tǒng)數(shù)字取證、事件日志和惡意軟件分析。當Google發(fā)現(xiàn)了網(wǎng)絡滲透后，安全團隊變得十分敏感，他們仔細檢查，不放過每個簡單的異常事件。

她說，“除非你做了一些篩選工作否則你一般不會意識到這是一種APT”。

Adkins談到在分析完惡意軟件的MD5簽名后似乎沒有人了解它，這表明第一個線索有問題。安全團隊同樣發(fā)現(xiàn)該軟件使用了一個硬編碼的DNS服務器。當攻擊者實施偵察時，他們會進行DNS查詢，這些數(shù)據(jù)在調(diào)查中是有用的。

她說團隊搜索了主機和該DNS查詢，復原出攻擊的情形。焦點集中在一個特定地方的DNS查詢，這代表了入侵的行為。大多數(shù)流量主要流向常見的站點。一個引人警覺的跡象是偵測到有訪問一個最近才注冊（以前沒有人訪問）的Web站點的流量。

她說，“DNS查詢?nèi)罩究赡苁悄惆l(fā)現(xiàn)新的惡意軟件產(chǎn)生的唯一方法。對手需要到其它系統(tǒng)上來安裝惡意軟件。我們經(jīng)常關注大的異常事件，但是我們也需要監(jiān)控這些微妙的事件”。

她說，Google的調(diào)查以一個核心的響應團隊為中心，引進系統(tǒng)專家，分配任務。團隊使用協(xié)同工具來加倍地核對他們的工作，實施數(shù)據(jù)分析。團隊需要使用他們的公共關系和法律團隊來通知其它受攻擊的公司，這增加了調(diào)查的時間。

Adkins說，“事實上，用于APT響應的人員十分緊缺。世界上沒有足夠的人員來防范這類攻擊”。

【編輯推薦】

1. 調(diào)查：Google Groups成為垃圾郵件攻擊者新目標
2. Google官方博客針對撤出中國的聲明全文翻譯