[[172393]]

電影《諜影重重5》的故事剛剛落下帷幕，相信各位影迷依然對主角Jason在希臘雅典以及美國拉斯維加斯的馬路上與反派Asset的兩處飛車角逐片段記憶猶新。

在這些緊張刺激的動作戲以外，說起影迷們最關(guān)注的問題，便非它莫屬了：

“電影中展現(xiàn)的種種針對電子設(shè)備的監(jiān)控技術(shù)真的存在嗎?”

事實告訴我們，拋開影片需要的藝術(shù)渲染效果以外，這些監(jiān)控技術(shù)的存在是真實可信的。實際上，我們每個人都處于一場看不見硝煙的信息戰(zhàn)當中。在某些我們看不見的角落里，有人有能力對個人電腦中的隱私數(shù)據(jù)進行全方位的窺探。在這一過程中，最常用的工具便是間諜軟件以及木馬程序，公眾通常從行為上把它們統(tǒng)一歸類為“木馬”。

在影片中共計出現(xiàn)了如下幾個給人留下深刻印象的有關(guān)木馬的片段：

1、在影片的開頭，前作女主角Nicky在位于冰島雷克雅未克某個黑客聚集地中侵入CIA數(shù)據(jù)庫，并利用木馬從某臺內(nèi)網(wǎng)服務(wù)器中竊取各種隱秘行動的資料。

2、CIA特工發(fā)現(xiàn)這次入侵之后立刻發(fā)動反擊，而他們的反擊做法也很好地遵從了“最好的防御便是進攻”這一準則：在獲得入侵者IP之后，他們成功侵入了冰島的電網(wǎng)系統(tǒng)并上傳了一個木馬，隨后對整個地區(qū)實施了停電攻擊以中斷Nicky與CIA的連接。

3、本作女主角Heather利用文件中植入的木馬程序?qū)崟r監(jiān)控Jason打開文件的行為，并迅速鎖定了他的位置。

4、CIA特工在發(fā)現(xiàn)Jason開始在電腦斷網(wǎng)的情況下瀏覽文件之時，當機立斷地決定入侵電腦旁邊的手機，并以它作為跳板對電腦進行控制，強制關(guān)機并刪除機密文件。

這些技術(shù)細節(jié)看上去簡直是匪夷所思，但真的不可能發(fā)生嗎?未必，事實上，潛藏在暗處的攻擊者們早就有辦法在技術(shù)層面上完成這些看似“不可能”的任務(wù)。

1.侵入數(shù)據(jù)庫

通過Metasploit框架以及各式各樣被公開在安全社區(qū)或者地下產(chǎn)業(yè)鏈中的漏洞細節(jié)、概念驗證代碼(PoC)甚至現(xiàn)成的利用程序(Exploit)和攻擊載荷(Payload)，攻擊者們可以對那些已確認的漏洞發(fā)起攻擊并迅速取得有漏洞服務(wù)器的控制權(quán)，更別提上傳一個木馬程序以更方便地操作文件和其他數(shù)據(jù)了。

防護措施：在杜絕弱口令的基礎(chǔ)上，保持Windows Update處在開啟狀態(tài)，及時修復系統(tǒng)中存在的漏洞。

2.侵入電網(wǎng)系統(tǒng)并實施停電攻擊

電影中的片段其實早有原型，在2015年12月23日，烏克蘭電力部門遭遇惡意代碼攻擊，烏克蘭新聞媒體TSN在24日報道稱：“至少有三個電力區(qū)域被攻擊，并于當?shù)貢r間15時左右導致了數(shù)小時的停電事故。”;“攻擊者入侵了監(jiān)控管理系統(tǒng)，超過一半的地區(qū)和部分伊萬諾–弗蘭科夫斯克地區(qū)斷電幾個小時”。在此次事件中，安全公司ESET表示烏克蘭電力部門感染的是惡意代碼“BlackEnergy”，它曾被用于攻擊歐美SCADA工控系統(tǒng)。

3.監(jiān)控行為并鎖定位置

當文件被打開之后，被植入其中的木馬程序得到了運行的機會：通常它會快速地在系統(tǒng)目錄下創(chuàng)建自身的副本并添加到自啟動項，使得用戶的電腦每次開機都會啟動木馬程序。之后，木馬程序與它內(nèi)部設(shè)定好的服務(wù)器進行通信，并發(fā)送自身所在機器的相關(guān)信息，其中便包括了受害者的IP地址(Jason便是這樣暴露自身位置的)。而在木馬聯(lián)絡(luò)的服務(wù)器上則會生成一個以該木馬程序為媒介，管理該機器的終端(Shell)，便于攻擊者進行操作，但是在電影中，由于主角Jason在閱覽CIA的機密文檔時關(guān)閉了網(wǎng)絡(luò)連接，使得木馬無法和服務(wù)器保持通信，所以CIA的特工們不得不想辦法通過入侵周圍的智能設(shè)備來重新取得電腦的控制權(quán)。

在中國，木馬雖然沒有和電影中一樣看起來十分炫酷的界面，它們所具有的功能卻是相當齊全的。下圖就是一個簡單的示例：

防護措施：警惕任何從非官方渠道獲取的軟件，使用之前請做好查殺工作，并通過基于行為檢測的威脅分析確認其安全性。要知道，有些木馬是可以通過無法被殺毒軟件識別的編碼方式來繞過靜態(tài)查殺的。順帶一提，男主角Jason就是犯了這樣的錯誤，急于閱覽CIA泄露的機密文件以至于在沒有足夠的安全意識的情況下就打開了文件，繼而暴露了自己的位置，也丟失了剛剛到手的文件。

4.入侵智能設(shè)備，并以其為跳板對其他PC或智能設(shè)備發(fā)起攻擊

實際上，在Metasploit框架版本的內(nèi)置模塊列表中早已準備了針對Android系統(tǒng)的漏洞利用模塊。另外的例子是[2]在2012年的Blackhat黑客大會上，來自CrowdStrike公司的Georg Wicheerski演示了一個Android4.0.1系統(tǒng)上Webkit瀏覽器的遠程代碼執(zhí)行漏洞。只需要用戶點擊釣魚短信中的鏈接，即可做到隱蔽的遠程控制和任意代碼的執(zhí)行，其危害性可見一斑。

防護措施：在對第三方應(yīng)用保持足夠警戒的基礎(chǔ)上請按照官方提供的補丁隨時更新你的智能設(shè)備系統(tǒng)，防止遭遇攻擊。

雖然作為電影，適當?shù)乃囆g(shù)渲染手法是必要的，但電影中出現(xiàn)的監(jiān)控技術(shù)絕非空穴來風。結(jié)合數(shù)日前發(fā)生的美國黑客團伙方程式組織(Equation Group)疑似被黑的事件來看，其泄露出的攻擊工具、漏洞利用程序、腳本源碼等數(shù)據(jù)無不讓人耳目一新，這也從側(cè)面證實了攻擊的存在和普遍性。

再一次的，請保持警惕!也許在你的電腦之中，就早已有著一雙睜開的眼睛。