网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
生物课本:寄生是指一种生物生于另一种生物的体内或体表,并从后者摄取养分以维持生活的现象。东哥:恶意代码隐藏在脚本文件中,利用AutoIt解释器调用自身。小白:揪出这条寄生脚本!
AutoIt其实是一个自动化的Windows界面交互的脚本语言,使用灵活,容易学习。而AutoIt解释器属于合法程序,使得黑客可以把恶意代码藏在脚本文件中,从而灵活地创建恶意软件。
样本执行时,依靠AutoIt3.exe调用googleupdate.a3x脚本,以此执行其中的恶意代码。互联网安全分享网站Freebuf上有好奇宝宝对样本代码进行了分析。代码总共接近3300行,前约1300行像是复制了一个通用代码,里面有大量的常量的声明,封装了大量的微软操作系统相关的函数,并定义了大量的字符串、数组操作函数,甚至有限制鼠标活动范围的函数。
代码中间1582行是在拼一个很大的变量,其内容用base64编码过。有趣的是,解开之后的变量是一个不明身份的小帅哥照片。从照片信息能看出,这张照片是用三星手机拍摄的,并经过PS处理,但没找到其他有用的信息,我们无法推断这人是谁……并且病毒执行后也没有调用这段数据,完全是一段垃圾数据。
总共3300行代码中,只有最后的400行是真正的病毒代码。这部分代码主要做了四部分的工作:检查自身运行环境,创建开机自启动,感染全部磁盘,驻留内存并与服务器通信实现远程控制。
九头蛇(HYDRA)是漫威世界的超级反派组织,其标志为骷髅头与下方的蛇足。九头蛇的口号是“砍掉一个头,再长出两个头取而代之”,与神话的海德拉形象契合,且以其无穷无尽的杂兵而实现这一个口号。