近日，McAfee公司指出，攻擊Google的黑客使用了前所未有的戰(zhàn)術(shù)，組合了加密、隱秘編程技術(shù)和IE中的未知漏洞，意圖是竊取Google、Adobe和許多其他大公司的源代碼。

1、黑客攻擊水平相當(dāng)高超

該公司威脅研究副總裁Dmitri Alperovitch說：在國防工業(yè)之外，我們從未見過商業(yè)行業(yè)的公司遭受過如此復(fù)雜程度的攻擊。攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進(jìn)了公司網(wǎng)絡(luò)內(nèi)部，并巧妙掩蓋自己的活動。在掩飾攻擊和防范常規(guī)偵測方法上，他們的加密非常成功。我們從未見過這種水平的加密。非常高超。

McAfee之所以將這種攻擊命名為Auroro（極光），是因為他們發(fā)現(xiàn)，黑客在將惡意代碼編譯為可執(zhí)行文件時，編譯器將攻擊者機(jī)器上的路徑名插入代碼中。

在IE漏洞被曝光后，微軟很快發(fā)布了針對性的安全建議書。而McAfee也在其產(chǎn)品中增加了偵測這種攻擊所用惡意代碼的功能。

2、黑客攻擊過程異常復(fù)雜

雖然最初的攻擊始自公司雇員訪問惡意網(wǎng)站，但是研究人員還在試圖確定網(wǎng)站的URL是通過郵件、聊天程序還是其他方式，比如Facebook或者其他社交類網(wǎng)站。

當(dāng)用戶訪問惡意網(wǎng)站的時候，他們的IE瀏覽器將被襲擊，自動而且秘密地下載一系列惡意代碼到計算機(jī)中。這些代碼就像俄羅斯套娃那樣，一個跟著一個地下載到系統(tǒng)中。

Alperovitch表示，最初的攻擊代碼是經(jīng)過三次加密的shell code，用來激活漏洞挖掘程序。然后它執(zhí)行從外部機(jī)器下載的程序，后者也是加密的，而且會從被攻擊機(jī)器上刪除第一個程序。這些加密的二進(jìn)制文件將自己打包為幾個也被加密的可執(zhí)行文件。

其中一個惡意程序會打開一個遠(yuǎn)程后門，建立一個加密的秘密通道，偽裝為一個SSL鏈接以避免被偵測到。這樣攻擊者就可以對被攻擊機(jī)器進(jìn)行訪問，將它作為灘頭陣地，繼續(xù)進(jìn)攻網(wǎng)絡(luò)上的其他部分，搜索登錄憑據(jù)、知識產(chǎn)權(quán)和其他要找的東西。

McAfee因參與攻擊調(diào)查，從被攻擊公司那里得到了攻擊所用的一些惡意代碼副本，并在幾天前加強(qiáng)了自己的產(chǎn)品。

3、攻擊不同公司方法也不同

對于另一家安全企業(yè)iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬，Alperovitch表示，他發(fā)現(xiàn)的惡意代碼此前任何反病毒廠商都不知道。

iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程序的漏洞，而Alperovitch說，他調(diào)查的公司里沒有發(fā)現(xiàn)這種情況。但他表示攻擊不同公司的方法可能不同，不限于IE漏洞。

4、黑客目標(biāo)直指公司源碼庫

當(dāng)黑客進(jìn)入系統(tǒng)后，他們將數(shù)據(jù)發(fā)送給位于美國伊利諾依州和得克薩斯州以及中國臺灣的指揮控制服務(wù)器。Alperovitch所沒有識別到美國的系統(tǒng)牽涉到這次攻擊，也沒有提到攻擊者的戰(zhàn)果。但Rackspace報告他們無意中在攻擊中發(fā)揮了少量作用。而iDefense則表示攻擊者的目標(biāo)是許多公司的源碼庫，而且很多情況下都成功得手。

5、黑客攻擊的時機(jī)非常好

Alperovitch說攻擊看上去是從12月15日開始的，但也有可能更早。似乎結(jié)束于1月4日，那一天，用來與惡意代碼傳輸數(shù)據(jù)的指揮控制服務(wù)器被關(guān)閉。并且，我們不知道服務(wù)器是由攻擊者關(guān)閉的，還是其他組織關(guān)閉的。但是從那時起，攻擊停止了。

Aperovitch還指出，攻擊的時機(jī)非常好，是在假日期間，公司的運營中心和安全響應(yīng)團(tuán)隊人手很少。攻擊的復(fù)雜程度令人印象深刻，是那種此前僅針對國防工業(yè)的攻擊類型。一般對于商業(yè)部門，攻擊只是為了獲取財務(wù)方面的信息，通常是通過SQL注入攻擊公司的網(wǎng)站，或者攻擊公司不安全的無線網(wǎng)絡(luò)。網(wǎng)絡(luò)罪犯一般不會花大量的時間把攻擊精雕細(xì)刻到如此程度，每個方面都采取混淆/加密防范。

McAfee還掌握了更多攻擊細(xì)節(jié)，但目前不準(zhǔn)備公布。他們已經(jīng)與美國執(zhí)法部門合作，并將這一問題告知美國各級政府。

【編輯推薦】

1. 企業(yè)與個人如何避免類似于谷歌攻擊
2. 卡巴斯基針對Google Adsense廣告報警一事的聲明
3. Gartner：Google繼微軟后涉足安全市場