网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
今天我们介绍的Poison病毒,可以控制一堆人。Poison病毒,该家族是由后门生成工具Poison Ivy生成的后门类木马程序。它通过注入到其他进程中来隐藏自身,允许未经授权的访问和控制受害系统。
Poison病毒的家族,拜古希腊的特洛伊木马为祖师爷,其弟子都深得Poison Ivy的真传,个个武艺高强,叫人头疼!PoisonTap现在还在作乱,而且雇佣费极低。
PoisonTap使用的硬件是仅售价5美元的Raspberry Pi Zero,代码则是Samy Kamkar公开发布的Node.js代码。一旦攻击者通过USB将此黑客工具连接到Windows或Mac电脑,它就开始加载入侵电脑所需的漏洞利用,即使电脑锁屏,也能攻破电脑。
PoisonTap利用电脑和网络机制的现有信任产生级联效应,包括USB、DHCP、DNS和HTTP,从而产生信息渗漏、网络访问和安装半永久式后门的滚雪球效应。一台主机一旦识别出该工具,就会以某种方式,将这个工具当成自己人,把它变成自己的网络中的一部分。当受害电脑发送路由请求,主机就会直接转到该工具,发送给攻击者Poison。
所以整个网段都在Poison的控制之中,你发送的所有消息都会被Poison过目!
PoisonTap还能绕过HTTPS专车的保护和许多其它安全机制,包括同源策略、HttpOnly cookie、X-Frame-Options HTTP响应头、DNS pinning和跨源资源共享等保镖的保护。一旦攻破了电脑并创建了后门,攻击者就能控制目标,即使该设备不插电同样奏效。
赛门铁克大侠表示,至少有48家公司遭到相同的网络攻击,这些公司的电脑感染了特洛伊木马病毒类型的恶意程序Poison Ivy之后会被窃取资讯,例如设计文件、制造过程中的细节等。受害者主要位于美国和英国境内,包括29家化学公司,其中有部分业者研发军车使用的新材料,包括了财富杂志100强、研发化合物与新材料的企业,以及协助生产这些工业基础设施的业者。
显然,这次网络攻击属于工业间谍活动,目的是搜集知识产权,享有竞争优势。
Poison病毒像是拥有一件隐形斗篷,将自己隐身起来。Poison就用其他程序当自己的隐形斗篷,将自己隐藏起来,伺机行动。拥有隐形斗篷的Poison岂不是难以被发现?
这里我要提出一个病毒攻击预防的新理念——脆弱性分析,通过对目标系统进行全方位分析和检测,找到系统中隐藏的容易受攻击的潜在漏洞点,在安全事件发生之前,就将脆弱点找出并处理。脆弱性分析依赖于大量对漏洞挖据分析过程的自我训练和学习,代替研究员完成重复性工作,能全自动化对目标完成分析,并输出脆弱性分析报告。