像微軟和蘋(píng)果這樣的公司，在發(fā)布新軟件前，代碼都會(huì)通過(guò)復(fù)檢和測(cè)試，以免有任何漏洞。黑客們也會(huì)如此做，他們最不愿看到的就是木馬破壞受害者的系統(tǒng)后被發(fā)現(xiàn)。更不希望殺毒軟件監(jiān)測(cè)到惡意程序。那他們?cè)趺崔k呢？ 將代碼發(fā)送給Google的VirusTotal網(wǎng)站，請(qǐng)他們幫忙做測(cè)試。

Google幫了黑客的忙

一直有人懷疑黑客和國(guó)際間諜會(huì)使用Google的殺毒網(wǎng)站測(cè)試他們的程序（發(fā)起攻擊前）?，F(xiàn)在，一位安全研究員在跟蹤幾個(gè)知名的黑客團(tuán)伙后發(fā)現(xiàn)，著名的國(guó)際團(tuán)隊(duì)組織使用VirusTotal網(wǎng)站來(lái)完善他們的代碼，研發(fā)間諜程序。這聽(tīng)起來(lái)挺諷刺。

VirusTotal于2004年由Hispasec Sistemas 在西班牙創(chuàng)立，2012年被Google收購(gòu)。該網(wǎng)站一直提供免費(fèi)的網(wǎng)絡(luò)服務(wù)，聚集了Symantec、卡巴斯基實(shí)驗(yàn)室、 F-Secure等機(jī)構(gòu)研發(fā)的數(shù)十個(gè)殺毒軟件。如果有人發(fā)現(xiàn)可疑文件，向該網(wǎng)站上傳，通過(guò)殺毒掃描后就能確認(rèn)是否為惡意文件。該網(wǎng)站本可以阻止網(wǎng)絡(luò)惡意程序，但也變向?yàn)楹诳吞峁┝丝沙酥畽C(jī)，為他們的惡意工具做測(cè)試。

幾年以來(lái)，Dixon一直在跟蹤上傳到該網(wǎng)站的代碼，通過(guò)每一個(gè)上傳文件的關(guān)聯(lián)數(shù)據(jù)發(fā)現(xiàn)一些黑客或黑客組織，甚至能夠發(fā)現(xiàn)襲擊目標(biāo)。每個(gè)上傳的文件會(huì)留下用戶的元數(shù)據(jù)痕跡，包括文件名稱，上傳時(shí)間，上傳者IP地址的散列值和國(guó)籍。雖然Google隱藏了IP地址，但通過(guò)散列值仍能夠發(fā)現(xiàn)同一個(gè)地址的上傳文件。奇怪的是，Dixon監(jiān)測(cè)的幾個(gè)組織使用的是同一個(gè)地址，重復(fù)多次提交惡意代碼。

Dixon通過(guò)他發(fā)明的算法解析元數(shù)據(jù)，他曾跟蹤到了中國(guó)和伊朗知名黑客組織提交的文件數(shù)據(jù)軌跡。數(shù)月后，他監(jiān)測(cè)到了黑客們修改、研發(fā)惡意代碼的過(guò)程，以及躲避的殺毒軟件數(shù)目。他甚至能夠預(yù)測(cè)黑客們發(fā)起攻擊的時(shí)間。有時(shí)他看到某些黑客測(cè)試過(guò)的代碼再次出現(xiàn)在VirusTotal網(wǎng)站上，這是由受害者方發(fā)現(xiàn)并提交上來(lái)進(jìn)行檢測(cè)掃描的。

跟蹤黑客組織

Comment Crew（注釋組）黑客組織被安全研究員們稱為“APT1 ”，據(jù)稱基地在中國(guó)，之前還攻擊過(guò)紐約時(shí)報(bào)。據(jù)報(bào)道，自2006年以來(lái)，注釋組還黑過(guò)可口可樂(lè)以及某些政府機(jī)構(gòu)。最近，該組織把目標(biāo)轉(zhuǎn)向了美國(guó)基礎(chǔ)設(shè)施，盯上了像Telvent這樣的公司，該公司控制著美國(guó)部分軟件系統(tǒng)，包括電網(wǎng)、石油、天然氣管道以及水下系統(tǒng)。Dixon跟蹤的組織并不是“注釋組”主要部分，而是其分支團(tuán)隊(duì)。

他還跟蹤到了NetTraveler組織，猜測(cè)該組織基地在中國(guó)。近十年來(lái)，該組織攻擊過(guò)政府、外交部門(mén)、以及軍方機(jī)構(gòu)。該組織顯然忽略了一個(gè)事實(shí)：他們的行蹤會(huì)被跟蹤到。不過(guò)“注釋組”曾通過(guò)不同的獨(dú)立IP地址提交代碼，這說(shuō)明他們已經(jīng)開(kāi)始警覺(jué)了。

安全研究員們一直懷疑黑客利用VirusTotal做惡意代碼測(cè)試，后來(lái)Dixon便開(kāi)始挖掘VirusTotal的元數(shù)據(jù)?，F(xiàn)在他不太愿意公開(kāi)討論他的元數(shù)據(jù)工作進(jìn)程，因?yàn)榭赡艽虿蒹@蛇，讓黑客們改變策略，跟蹤難度就更大了。但他表示，現(xiàn)在VirusTotal的存檔數(shù)據(jù)已經(jīng)足夠讓其他安全研究員一起來(lái)跟蹤黑客活動(dòng)。本周他發(fā)布了一組用于分析元數(shù)據(jù)的代碼，便于其他研究員進(jìn)行跟蹤工作。

Dixon稱：“起初要在數(shù)據(jù)中發(fā)現(xiàn)黑客組織很難，我首次看到這些數(shù)據(jù)時(shí)，不知從何入手，直到我發(fā)現(xiàn)黑客后才知道這些來(lái)龍去脈?！?/p>

偷看黑客改良惡意代碼

通過(guò)元數(shù)據(jù)，黑客的工作細(xì)節(jié)被Dixon一覽無(wú)余。在他跟蹤觀察的三個(gè)月期間，“注釋組”將他們的惡意程序的每一條代碼都修改了一遍，并增刪了一些功能。他們添加了其它攻擊漏洞代碼，但破壞了其它部分的攻擊功能，隨后又進(jìn)行了各種修改測(cè)試，整個(gè)過(guò)程都在Dixon的觀察之下。

2012年8月到10月觀察期間，Dixon根據(jù)“注釋組”修改惡意文件代碼、重命名文件、移動(dòng)文件內(nèi)容、刪除代碼控制服務(wù)器的URL鏈接等一系列活動(dòng)，摸清了他們的行動(dòng)流程。黑客還測(cè)試出了兩款包裝工具，用來(lái)壓縮惡意軟件的大小，并對(duì)它進(jìn)行包裝隱藏，避開(kāi)殺毒掃描。但這些方法只部分奏效。黑客們將能監(jiān)測(cè)出他們代碼的服務(wù)器減少至2到3個(gè)。只需要?dú)⒍疽姘l(fā)現(xiàn)不了惡意代碼，就無(wú)需進(jìn)行頻繁更改。雖然Dixon通過(guò)殺毒引擎檢測(cè)到了一些惡意代碼，但是隱藏較深的惡意代碼只能被人們不常用的殺毒引擎發(fā)現(xiàn)。

即使“注釋組”有時(shí)對(duì)攻擊代碼進(jìn)行大幅修改，但有些字符串他們從未改動(dòng)過(guò)，比如用于木馬與控制服務(wù)器之間交流的字符串，這讓Dixon得以研發(fā)電子簽名，偵測(cè)和截獲目標(biāo)機(jī)器上的惡意活動(dòng)。他們?cè)谀承┨厥夤糁械募用荑€匙也從未變動(dòng)過(guò)，一直使用著MD5散列加密技術(shù)中的 Hello@)!0字符串。多數(shù)時(shí)候，他們向 VirusTotal網(wǎng)站提交代碼時(shí)只啟用了3個(gè)IP地址。Dixon認(rèn)為這些黑客經(jīng)驗(yàn)不足，組織內(nèi)沒(méi)有嚴(yán)格的監(jiān)管。

通過(guò)惡意代碼發(fā)現(xiàn)受害者

Dixon經(jīng)常能跟蹤到這些上傳到VirusTotal網(wǎng)站的文件，并與到受害目標(biāo)建立連接。有時(shí)他能夠測(cè)算出代碼測(cè)試結(jié)束到發(fā)起攻擊所花的時(shí)間。多數(shù)時(shí)候“注釋組”會(huì)在測(cè)試結(jié)束幾小時(shí)或幾天后發(fā)起攻擊。比如2012年8月20日，一個(gè)漏洞代碼在測(cè)試結(jié)束兩天后出現(xiàn)在目標(biāo)機(jī)器上。

跟蹤 NetTraveler 時(shí)，Dixon也采用了相同的方式。2009年，該組織開(kāi)始在VirusTotal露面，隨后測(cè)試活動(dòng)越來(lái)越頻繁，每年的測(cè)試量成倍增加。2009年他們提交了33個(gè)文件，去年則達(dá)到391個(gè)，今年已經(jīng)提交了386個(gè)文件。更讓人震驚的是，他們甚至上傳從受害者機(jī)器中偷來(lái)的文件。Dixon覺(jué)得這非常諷刺，這些黑客可能想測(cè)試這些文件，看在己方機(jī)器上打開(kāi)前，是否會(huì)被感染。

Dixon跟蹤的伊朗黑客組織于去年6月出現(xiàn)在VirusTotal上。一個(gè)月后，該組織上傳了約1000個(gè)攻擊文件，隱蔽性超強(qiáng)。他們甚至利用存在了兩年之久的漏洞，并加以修改來(lái)躲避殺毒掃描。此外，Dixon還發(fā)現(xiàn)了疑似 PlugX黑客組織上傳的文件。據(jù)稱，PlugX來(lái)自中國(guó)，于去年開(kāi)始露面，并在不斷壯大。自2013年4月以來(lái)，PlugX在VirusTotal中上傳了約1600個(gè)文件，每次上傳都使用了不同的IP地址。

雖然黑客們?cè)赩irusTotal的活動(dòng)已被曝光，但毫無(wú)疑問(wèn)，他們會(huì)改良技術(shù)躲避跟蹤，繼續(xù)使用VirusTotal。Dixon認(rèn)為這并無(wú)大礙，因?yàn)橹灰踩緜儽ＷC上傳的代碼如有攻擊可能，在代碼傳播之前，他們會(huì)跟蹤這些代碼字符串并做出相應(yīng)的數(shù)字簽名，做好一系列防御機(jī)制工作。

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。