像微軟和蘋果這樣的公司，在發(fā)布新軟件前，代碼都會通過復檢和測試，以免有任何漏洞。黑客們也會如此做，他們最不愿看到的就是木馬破壞受害者的系統(tǒng)后被發(fā)現(xiàn)。更不希望殺毒軟件監(jiān)測到惡意程序。那他們怎么辦呢？ 將代碼發(fā)送給Google的VirusTotal網(wǎng)站，請他們幫忙做測試。

Google幫了黑客的忙

一直有人懷疑黑客和國際間諜會使用Google的殺毒網(wǎng)站測試他們的程序（發(fā)起攻擊前）?，F(xiàn)在，一位安全研究員在跟蹤幾個知名的黑客團伙后發(fā)現(xiàn)，著名的國際團隊組織使用VirusTotal網(wǎng)站來完善他們的代碼，研發(fā)間諜程序。這聽起來挺諷刺。

VirusTotal于2004年由Hispasec Sistemas 在西班牙創(chuàng)立，2012年被Google收購。該網(wǎng)站一直提供免費的網(wǎng)絡服務，聚集了Symantec、卡巴斯基實驗室、 F-Secure等機構研發(fā)的數(shù)十個殺毒軟件。如果有人發(fā)現(xiàn)可疑文件，向該網(wǎng)站上傳，通過殺毒掃描后就能確認是否為惡意文件。該網(wǎng)站本可以阻止網(wǎng)絡惡意程序，但也變向為黑客提供了可乘之機，為他們的惡意工具做測試。

幾年以來，Dixon一直在跟蹤上傳到該網(wǎng)站的代碼，通過每一個上傳文件的關聯(lián)數(shù)據(jù)發(fā)現(xiàn)一些黑客或黑客組織，甚至能夠發(fā)現(xiàn)襲擊目標。每個上傳的文件會留下用戶的元數(shù)據(jù)痕跡，包括文件名稱，上傳時間，上傳者IP地址的散列值和國籍。雖然Google隱藏了IP地址，但通過散列值仍能夠發(fā)現(xiàn)同一個地址的上傳文件。奇怪的是，Dixon監(jiān)測的幾個組織使用的是同一個地址，重復多次提交惡意代碼。

Dixon通過他發(fā)明的算法解析元數(shù)據(jù)，他曾跟蹤到了中國和伊朗知名黑客組織提交的文件數(shù)據(jù)軌跡。數(shù)月后，他監(jiān)測到了黑客們修改、研發(fā)惡意代碼的過程，以及躲避的殺毒軟件數(shù)目。他甚至能夠預測黑客們發(fā)起攻擊的時間。有時他看到某些黑客測試過的代碼再次出現(xiàn)在VirusTotal網(wǎng)站上，這是由受害者方發(fā)現(xiàn)并提交上來進行檢測掃描的。

跟蹤黑客組織

Comment Crew（注釋組）黑客組織被安全研究員們稱為“APT1 ”，據(jù)稱基地在中國，之前還攻擊過紐約時報。據(jù)報道，自2006年以來，注釋組還黑過可口可樂以及某些政府機構。最近，該組織把目標轉向了美國基礎設施，盯上了像Telvent這樣的公司，該公司控制著美國部分軟件系統(tǒng)，包括電網(wǎng)、石油、天然氣管道以及水下系統(tǒng)。Dixon跟蹤的組織并不是“注釋組”主要部分，而是其分支團隊。

他還跟蹤到了NetTraveler組織，猜測該組織基地在中國。近十年來，該組織攻擊過政府、外交部門、以及軍方機構。該組織顯然忽略了一個事實：他們的行蹤會被跟蹤到。不過“注釋組”曾通過不同的獨立IP地址提交代碼，這說明他們已經(jīng)開始警覺了。

安全研究員們一直懷疑黑客利用VirusTotal做惡意代碼測試，后來Dixon便開始挖掘VirusTotal的元數(shù)據(jù)。現(xiàn)在他不太愿意公開討論他的元數(shù)據(jù)工作進程，因為可能打草驚蛇，讓黑客們改變策略，跟蹤難度就更大了。但他表示，現(xiàn)在VirusTotal的存檔數(shù)據(jù)已經(jīng)足夠讓其他安全研究員一起來跟蹤黑客活動。本周他發(fā)布了一組用于分析元數(shù)據(jù)的代碼，便于其他研究員進行跟蹤工作。

Dixon稱：“起初要在數(shù)據(jù)中發(fā)現(xiàn)黑客組織很難，我首次看到這些數(shù)據(jù)時，不知從何入手，直到我發(fā)現(xiàn)黑客后才知道這些來龍去脈?！?/p>

偷看黑客改良惡意代碼

通過元數(shù)據(jù)，黑客的工作細節(jié)被Dixon一覽無余。在他跟蹤觀察的三個月期間，“注釋組”將他們的惡意程序的每一條代碼都修改了一遍，并增刪了一些功能。他們添加了其它攻擊漏洞代碼，但破壞了其它部分的攻擊功能，隨后又進行了各種修改測試，整個過程都在Dixon的觀察之下。

2012年8月到10月觀察期間，Dixon根據(jù)“注釋組”修改惡意文件代碼、重命名文件、移動文件內容、刪除代碼控制服務器的URL鏈接等一系列活動，摸清了他們的行動流程。黑客還測試出了兩款包裝工具，用來壓縮惡意軟件的大小，并對它進行包裝隱藏，避開殺毒掃描。但這些方法只部分奏效。黑客們將能監(jiān)測出他們代碼的服務器減少至2到3個。只需要殺毒引擎發(fā)現(xiàn)不了惡意代碼，就無需進行頻繁更改。雖然Dixon通過殺毒引擎檢測到了一些惡意代碼，但是隱藏較深的惡意代碼只能被人們不常用的殺毒引擎發(fā)現(xiàn)。

即使“注釋組”有時對攻擊代碼進行大幅修改，但有些字符串他們從未改動過，比如用于木馬與控制服務器之間交流的字符串，這讓Dixon得以研發(fā)電子簽名，偵測和截獲目標機器上的惡意活動。他們在某些特殊攻擊中的加密鑰匙也從未變動過，一直使用著MD5散列加密技術中的 Hello@)!0字符串。多數(shù)時候，他們向 VirusTotal網(wǎng)站提交代碼時只啟用了3個IP地址。Dixon認為這些黑客經(jīng)驗不足，組織內沒有嚴格的監(jiān)管。

通過惡意代碼發(fā)現(xiàn)受害者

Dixon經(jīng)常能跟蹤到這些上傳到VirusTotal網(wǎng)站的文件，并與到受害目標建立連接。有時他能夠測算出代碼測試結束到發(fā)起攻擊所花的時間。多數(shù)時候“注釋組”會在測試結束幾小時或幾天后發(fā)起攻擊。比如2012年8月20日，一個漏洞代碼在測試結束兩天后出現(xiàn)在目標機器上。

跟蹤 NetTraveler 時，Dixon也采用了相同的方式。2009年，該組織開始在VirusTotal露面，隨后測試活動越來越頻繁，每年的測試量成倍增加。2009年他們提交了33個文件，去年則達到391個，今年已經(jīng)提交了386個文件。更讓人震驚的是，他們甚至上傳從受害者機器中偷來的文件。Dixon覺得這非常諷刺，這些黑客可能想測試這些文件，看在己方機器上打開前，是否會被感染。

Dixon跟蹤的伊朗黑客組織于去年6月出現(xiàn)在VirusTotal上。一個月后，該組織上傳了約1000個攻擊文件，隱蔽性超強。他們甚至利用存在了兩年之久的漏洞，并加以修改來躲避殺毒掃描。此外，Dixon還發(fā)現(xiàn)了疑似 PlugX黑客組織上傳的文件。據(jù)稱，PlugX來自中國，于去年開始露面，并在不斷壯大。自2013年4月以來，PlugX在VirusTotal中上傳了約1600個文件，每次上傳都使用了不同的IP地址。

雖然黑客們在VirusTotal的活動已被曝光，但毫無疑問，他們會改良技術躲避跟蹤，繼續(xù)使用VirusTotal。Dixon認為這并無大礙，因為只要安全公司們保證上傳的代碼如有攻擊可能，在代碼傳播之前，他們會跟蹤這些代碼字符串并做出相應的數(shù)字簽名，做好一系列防御機制工作。

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。