【1月18日更新】
TechWeb旗下的DarkReading發表文章�����,透露iDefense已經收回之前發布的Adobe PDF漏洞導致Google被攻擊的聲明,承認McAfee所說的IE漏洞才是禍源�����。
文章還給出了一個鏈接�����,指向開源滲透測試工具項目Metasploit的博客�����,上面給出了利用這個IE漏洞的攻擊代碼。
微軟也發布了對這個漏洞的更新分析,表明Windows XP上的IE 6最為危險。值得一提的是�����,文章特別感謝了CSDN專家博客暨《程序員》雜志專欄作者�����、微軟中國的褚誠云�����。
此外,還有專家用視頻演示了攻擊過程�����。
【1月17日更新】
McAfee CTO George Kurtz在發表了新的博客文章�����,稱之前提到的極光行動中使用的針對IE漏洞的惡意代碼已經在網上發布�����,但他沒有說明是哪個網站。
稍早前媒體報道,Yahoo應該在Google受攻擊之前就遭到了攻擊�����,但它沒有公開�����,只是自己加強了安全防范�����。
【1月16日7:30重要更新】
《連線》雜志文章給出了大量攻擊細節,非常值得一讀�����。
文章引述McAfee公司的話�����,說(攻擊Google的)黑客使用了前所未有的戰術�����,組合了加密�����、隱秘編程技術和IE中的未知漏洞�����,意圖是竊取Google、Adobe和許多其他大公司的源代碼�����。
該公司威脅研究副總裁Dmitri Alperovitch說:在國防工業之外�����,我們從未見過商業行業的公司遭受過如此復雜程度的攻擊�����。
Alperovitch說,攻擊者使用了十幾種惡意代碼和多層次的加密�����,深深地挖掘進了公司網絡內部�����,并巧妙掩蓋自己的活動�����。在掩飾攻擊和防范常規偵測方法上�����,他們的加密非常成功�����。我們從未見過這種水平的加密�����。非常高超。
McAfee之所以將這種攻擊命名為Auroro(極光)�����,是因為他們發現�����,黑客在將惡意代碼編譯為可執行文件時�����,編譯器將攻擊者機器上的路徑名插入代碼中。
在IE漏洞被曝光后�����,微軟很快發布了針對性的安全建議書�����。而McAfee也在其產品中增加了偵測這種攻擊所用惡意代碼的功能。
雖然最初的攻擊始自公司雇員訪問惡意網站,但是研究人員還在試圖確定網站的URL是通過郵件�����、聊天程序還是其他方式�����,比如Facebook或者其他社會化網站�����。
當用戶訪問惡意網站的時候,他們的IE瀏覽器將被襲擊�����,自動而且秘密地下載一系列惡意代碼到計算機中�����。這些代碼就像俄羅斯套娃那樣�����,一個跟著一個地下載到系統中。
Alperovitch表示,最初的攻擊代碼是經過三次加密的shell code�����,用來激活漏洞挖掘程序�����。然后它執行從外部機器下載的程序,后者也是加密的�����,而且會從被攻擊機器上刪除第一個程序�����。這些加密的二進制文件將自己打包為幾個也被加密的可執行文件�����。
其中一個惡意程序會打開一個遠程后門�����,建立一個加密的秘密通道,偽裝為一個SSL鏈接以避免被偵測到。這樣攻擊者就可以對被攻擊機器進行訪問,將它作為灘頭陣地�����,繼續進攻網絡上的其他部分�����,搜索登錄憑據�����、知識產權和其他要找的東西�����。
McAfee因參與攻擊調查�����,從被攻擊公司那里得到了攻擊所用的一些惡意代碼副本,并在幾天前加強了自己的產品�����。
對于另一家安全企業iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬�����,Alperovitch表示�����,他發現的惡意代碼此前任何反病毒廠商都不知道。
iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程序的漏洞�����,而Alperovitch說�����,他調查的公司里沒有發現這種情況�����。但他表示攻擊不同公司的方法可能不同�����,不限于IE漏洞�����。
當黑客進入系統后,他們將數據發送給位于美國伊利諾依州和得克薩斯州以及中國臺灣的指揮控制服務器�����。Alperovitch所沒有識別到美國的系統牽涉到這次攻擊�����,也沒有提到攻擊者的戰果�����。但Rackspace報告他們無意中在攻擊中發揮了少量作用�����。而iDefense則表示攻擊者的目標是許多公司的源碼庫,而且很多情況下都成功得手�����。
Alperovitch說攻擊看上去是從12月15日開始的�����,但也有可能更早。似乎結束于1月4日�����,那一天�����,用來與惡意代碼傳輸數據的指揮控制服務器被關閉�����。
他說:我們不知道服務器是由攻擊者關閉的,還是其他組織關閉的。但是從那時起,攻擊停止了�����。
Aperovitch還指出�����,攻擊的時機非常好�����,是在假日期間,公司的運營中心和安全響應團隊人手很少�����。攻擊的復雜程度令人印象深刻�����,是那種此前僅針對國防工業的攻擊類型。一般對于商業部門�����,攻擊只是為了獲取財務方面的信息�����,通常是通過SQL注入攻擊公司的網站�����,或者攻擊公司不安全的無線網絡。網絡罪犯一般不會花大量的時間把攻擊精雕細刻到如此程度�����,每個方面都采取混淆/加密防范�����。
McAfee還掌握了更多攻擊細節�����,但目前不準備公布�����。他們已經與美國執法部門合作,并將這一問題告知美國各級政府。
【1月16日5:15更新】
讀寫網報道,在影響Google安全的IE漏洞曝光后,德國政府呼吁不要使用微軟的瀏覽器�����。因為其他黑客也會利用這一漏洞�����。
另有網友爆料,Google中國公司上海辦公室有程序員涉嫌盜竊Gmail源代碼�����。此消息未經Google公司證實�����。
紐約時報報道�����,Google受到的攻擊可能牽涉到的其他著名公司又增加了國防工業的Northrop Grumman和知名安全廠商Symantec。
【1月15日20:17更新】
《華爾街日報》文章說:據了解(對Google)攻擊的知情人士透露�����,黑客試圖通過六個臺灣的網絡地址來掩飾自己的身份�����,這是中國大陸黑客的慣常策略�����。
六個地址中,有五個為提供網絡電視電影的年代數位媒體股份有限公司(Era Digital Media Co.)所有�����。該公司表示對攻擊并不知情�����,并拒絕發表更多評論。第六個地址為金融軟件提供商奇唯科技股份有限公司所有。奇唯表示,已于6月份棄用相關地址�����。
臺灣內政部警政署科技犯罪防制中心主任李相臣表示�����,兩家公司本身可能都是受害者�����。
對于Google可能退出中國聲明中提到的此前所受到的攻擊,安全技術界給出了各種解釋�����。
VeriSign公司的iDefens實驗室的安全分析師發布了一份媒體公告�����,稱黑客攻擊了主要的源代碼庫�����。
VeriSign說超過30家技術公司遭到了一系列攻擊,這有可能始于七月份的一種類型相近的攻擊,這一攻擊通過包含惡意PDF文件的電子郵件信息攻擊了100個IT公司�����。金融和防御機構也有可能遭到了攻擊�����。
VeriSign iDefense在其公告中稱:據熟悉這種攻擊的人員透漏�����,攻擊者采取了傳播針對Google的惡意代碼的方式和使用PDF作為電郵附件的攻擊方式;這些文件的特征和去年7月份一次攻擊的特征很相似。這兩起攻擊中,惡意文件都在Windows DLL中安插了一個后門木馬�����。
VeriSign說這兩起攻擊使用了相似的IP地址�����,并使用了相同的命令和控制結構�����。這些IP地址都屬于Linode(一家美國的虛擬私有服務器主機供應商)所有。
VeriSign說:考慮到它們是如此接近,有可能這兩種攻擊就是同一種攻擊。那些遭到硅谷攻擊的組織自七月以來就一直處于威脅之中�����。
類似的分析在《MIT技術評論》的這篇文章中有比較全面的介紹�����。
而McAfee CTO George Kurtz(也是《黑客大曝光》一書的作者之一)則明確不同意這種觀點,他在博客中稱�����,Google所受攻擊應該源于一種新的此前不大為人所知的IE漏洞�����。McAfee已經向微軟通報了此漏洞�����,預計不久微軟將提供相關建議。他表示�����,攻擊主要針對某些能夠訪問重要知識產權的特定人員�����,攻擊者向他們發送像是來自一個信任來源的鏈接或者附件�����,誘使目標點擊,不知不覺中下載和安裝惡意軟件�����,為攻擊者打開后門�����,進入所屬公司的網絡。
Kurtz將這種攻擊命名為Aurora(極光)�����。他在文中還說到�����,安全威脅已經進入了一個新時代�����,類似的攻擊只是冰山之一角�����。與之前常見的影響廣泛的病毒如紅色代碼不同,這種攻擊需要復雜而精巧的社交工程配合�����,一般目標極為明確�����,往往指向有利可圖或者機密的知識產權�����。
【更新】
微軟已經在自己的網站發布了一個關于Kurtz所述IE漏洞的安全建議,其中指出�����,漏洞是IE中的一個無效指針引用�����。在一些情況下,這個指針可能在對象刪除之后仍然能夠訪問�����。在精心設計的攻擊中�����,通過試圖訪問已被釋放的對象�����,IE可以被用來允許遠程代碼的執行。
微軟表示,該漏洞將影響Windows各版本上的IE 6到IE 8瀏覽器�����。只有較老的IE 5.01 SP4不受影響�����。如果懷疑自己的電腦已經受到這一漏洞的影響�����,可以訪問https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-usscrx=1。
微軟公司已經承諾盡快推出補丁。
McAfee的威脅研究副總裁Dmitri Alperovitch表示�����,這種攻擊非常復雜�����,此前往往針對的是政府和國防部門,應該不是業余者所為。McAfee之所以將這種攻擊稱為Aurora(極光),是因為該惡意代碼的二進制文件路徑名是這個單詞。相信這是攻擊者自己為這種攻擊所起的名字�����。
另據IOActive公司滲透測試總監Dan Kaminsky說�����,Windows XP及以上版本的DEP(數據執行保護)功能有助于防范此類攻擊�����。另外�����,雖然Google所受攻擊用到的惡意代碼只影響IE 6,但這個漏洞仍然可以用來攻擊更高版本。不過�����,Windows Vista和Windows 7采用了ASLR(地址空間布局隨機化�����,address space layout randomization)的保護技術�����,大大增加了攻擊的難度�����。
-- 
學海無涯