我們(F-secure)的實驗室會收到很多樣本，大部分是來自于網(wǎng)上。但是有時候也會有人自己帶著電腦來實驗室讓我們做分析。今年早些時候,有個20出頭的小伙子開著一輛奧迪R8來到了我們赫爾辛基的總部。他叫Jens Kyllönen是一個職業(yè)撲克牌玩家,經(jīng)常參加現(xiàn)場的比賽和一些線上的比賽。他在這個領(lǐng)域很厲害,去年贏了250萬美元。

[[92012]]

為什么這么牛逼的撲克高手會來我們實驗室呢.聽一下他的故事:

去年九月份Jens在巴塞羅那參加歐洲撲克巡回賽。他住在一個五星級酒店里，白天在酒店比賽,中間休息他回房間發(fā)現(xiàn)自己的筆記本不見了。然后他就去朋友那邊看看是不是朋友借走了，回來的時候發(fā)現(xiàn)筆記本又出現(xiàn)了。所以就覺得事情有些不對勁，而且電腦啟動有點不正常。Jens在當(dāng)時論壇里發(fā)帖子講述了這個事情： 

他覺得自己的電腦會不會有問題，讓我們給分析一下。對于那些利用利用電腦進(jìn)行線上比賽的撲克玩家來說，電腦的安全當(dāng)然非常重要。所以我們接受了這個調(diào)查，做了一個完整的鏡像備份之后，開始了深入的分析。

很明顯他的直覺是非常正確的。沒過多久我們就發(fā)現(xiàn)他的筆記本被安裝了一個木馬(RAT)，木馬安裝的時間跟筆記本失蹤的時間很吻合。攻擊者應(yīng)該是通過usb存儲設(shè)備來安裝木馬的而且設(shè)置成了開機(jī)自動啟動。木馬是一種允許攻擊者遠(yuǎn)程控制和監(jiān)控電腦的程序，可以看到電腦屏幕以及任何被感染電腦上發(fā)生的事情。

下面通過圖片說明一下這個木馬的工作方式。第一個截圖是攻擊者看到的自己的比賽屏幕。跟其他比賽選手一樣，只能看到自己的牌型。

受害者感染了木馬之后，攻擊者就可以看到對手的配型，這里是兩個Q。

據(jù)我們所知這種攻擊很常見，而且任何在線撲克比賽都有效。這個木馬是用java寫的，可以運行在多個平臺(windows，Mac OS，Linux)。

下圖是截取受害者屏幕的代碼片段。

分析完Jens的筆記本之后，我們看是尋找看看是不是有其他人的電腦也被感染了。不出所料，另外一個專業(yè)撲克玩家Henri，跟Jens在一個房間比賽的，也感染了同樣的木馬。

這不是第一例針對職業(yè)撲克玩家的定制木馬。我們調(diào)查過幾個案例，曾經(jīng)成功竊取了幾十萬歐元。值得注意的是這些案例都不是在線的攻擊，而是通過物理的方式攻擊了受害者的電腦。

這種狀況也來越多，所以我們給這種攻擊起了一個名字叫白鯊攻擊(Sharking)，用來代表針對高端撲克玩家的攻擊。

那么最后，我們從這個故事中得到的啟發(fā)是什么呢。如果你有一個筆記本用來操作大量的錢，那么一定要好好看好它。如果要暫時離開，首先要鎖定電腦。硬盤最好加密，避免離線訪問。不要用它來上網(wǎng)打游戲，單獨買一個筆記本吧。現(xiàn)在筆記本那么便宜。不管你是職業(yè)撲克玩家還是商業(yè)領(lǐng)袖，采取這些措施還有還是必要的。

原文地址：http://www.f-secure.com/weblog/archives/00002647.html