编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。
一、谶曰
小白:明枪易躲,暗箭难挡。敌暗我明,如何预防?
大东:漏洞不漏,补丁勤装,陌生链接,不点不慌。
二、病毒通缉令
小白:这只大象厉害了,这么多鼻子用来当洗澡的花洒,加上背上的烟囱用来排气,简直超智能自控热水器嘛,超大水量炒鸡爽!
大东:好吧,好歹你今天终于不再说吃吃吃了。
小白:嘿嘿,吃够了也得歇歇嘛。
大东:好好好,歇够了今天就开讲。
小白:讲!
大东:这张牌描述的是 HangOver,其命名源于该恶意代码家族的可执行文件内经常出现的工程调试路径字符串“HangOver”。该行动在2013年被发现,它使用社会工程策略,主要目的是窃取巴基斯坦、中国、伊朗以及美国等国家的敏感信息。
小白:咦——那跟这热水器,不,大象有啥关系呀?
大东:想知道就接着往下听呗~
三、大话始末
小白:东哥,看新闻联播呐,这几天印度在西藏很是活跃,这是要搞事情啊!
东哥:搞事情?看来阿三是忘了62年的教训了。
小白:哎哟,东哥要开讲了,来来来,快讲快讲。
东哥:(抿一口茶)阿三这事由来已久,二战结束后,作为英国的重要海外殖民地,印度人民运动也是闹得如火如荼。迫于时代压力,英国治好放弃殖民统治的权利,但又不想让印度人好过,就把当时的印度一分为二,一部分是当今的印度,一部分是当今的巴基斯坦,美其名曰:印巴分治。
1940年代的印度
小白:这印度也是可怜,莫名其妙地就少了个巴基斯坦那么大的地盘。
东哥:谁说不是呢,如果就这么印巴分治下去,也能保持互不侵犯,平安相处。可是印度的野心太大,要做南亚大陆的老大,独霸印度洋,还把手伸到了藏南地区。为了维护边境安全和边民的生活安定,中国解放军在62年发兵印度,使劲教训了一下当时狂妄的印度。
小白:真解气!
大东:然而帝国主义亡我之心不死,印度一直想着怎么搞事。
小白:印度能搞起什么事情啊?
大东:你还真别说,印度知道明的不行就来暗的。现在的战争很少像美国打伊拉克那种火箭炮弹一起上的了,本着能用黑客攻击,绝不浪费炮弹的原则,印度悄咪咪地利用操作系统漏洞对中国发动了数次网络攻击,直到2013年被网络安全公司诺曼批露出来。同时,国内的网络安全公司安天也对这个组织持续关注。
计算机病毒
小白:网络攻击行为那么多,怎么发现是印度搞的事情呢?
大东:这个啊,是因为这个黑客组织攻击了挪威的一家公司,于是这家公司就找到挪威的网络安全公司诺曼公司来帮忙解决问题。通过追踪,诺曼的研究员在被攻击公司的网络上发现了信息收集软件——包括一个叫 Handover 的恶意软件,因此,这个黑客组织被命名为 Handover。2014年8月,安天在网络安全报告中对该攻击组织中文命名为“白象”。
小白:噢~难怪牌上画着大象呢~
大东:别小看这个“白象”组织,安天公司的研究人员发现这个“白象”组织曾对中国发起过两拨高度活跃的攻击。在第一次攻击中,“白象”组织了采用鱼叉式网络钓鱼攻击这种带有简单社会工程学的攻击方式,第二次“白象”组织的攻击……
小白:慢慢慢,东哥,慢点慢点,啥是鱼叉式网络钓鱼攻击啊?
大东:这个鱼叉式网络钓鱼攻击啊,顾名思义就是用渔叉来叉鱼。渔叉是专门用来叉鱼,而这种网络攻击方式最明显的特征就是有针对性。“白象”组织的鱼叉式网络钓鱼攻击对特定的用户发送特定的邮件,比如,如果你是公司老板,他就发你竞争对手的内部信息,如果你是公司会计,他就发你财务报表。这些邮件链接,你只要一点开,嘿嘿,立马就中招了。在这一次“白象”组织的网络攻击中,主要目标都在巴基斯坦,中国的攻击目标比较少,主要是高等院校。
小白:好可怕啊,简直防不胜防啊。
大东:(白眼)第二次“白象“组织的攻击除了鱼叉式钓鱼邮件的投放,还使用了CVE-2014-4114和CVE-2015-1641等三个漏洞。这样,在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗,同时初步具备了更为清晰的远程控制的指令体系。第二次“白象”组织大面积攻击了巴基斯坦和中国的目标,包括教育、军事、科研、媒体等领域。
可爱的白象
小白:不明觉厉!
大东:简单地说,“白象”的第二次攻击是在第一次攻击的基础上进行了优化,不仅升级了鱼叉式网络钓鱼攻击的手段,还加入了漏洞攻击,在攻击手段上更加多样和完善,所以产生的危害效果也是成倍增加。一方面,“白象”组织依靠网络钓鱼攻击进行定向攻击,攻击方式经过伪装之后,更加让人防不胜防,小手一点,信息就危险了。另一方面,对系统漏洞的利用也让“白象”组织的攻击危害更大,那些更新补丁不及时的电脑就会被轻易被攻陷,信息也就没有了保护的屏障,直接暴露在了黑客的面前。
小白:这么厉害,我们岂不是很危险啊?
大东:慌神马,咱们也有对策。最关键的一点,是要有安全意识,避免因好奇而点开陌生链接。如果真的很想点开,我这儿有个网站,,提供了部分域名信誉信息的查询功能,你可以在查询了陌生域名的信誉后再决定要不要打开。除此之外,大多杀毒软件都有防鱼叉式网络钓鱼攻击的功能,能达到中等水平的防护效果。
小白:记住一点,保持警惕性,是最最最关键的。
四、小白内心说
小白:东哥,其实我也会钓鱼。
大东:什么你也会钓鱼?看来我低估你了啊。
小白:嗯啊,我不仅会钓鱼,我还会摸鱼。
大东:等一下我好像理解错了什么,看来你这个不认真听讲的习惯由来已久了。
小白:东哥我要是不说摸鱼是不是你就会觉得我会科技钓鱼了?
大东:对啊,因为其实网络钓鱼这个东西说容易也容易,因为有的时候你伪装一下你的邮件什么的骗一下对方把账号密码发给你也不是不可能的。
小白:胡说!!这根本就不是钓鱼!!!
大东:哈哈哈,所以看起来对付这样的邮件你还是有点经验的啊。
小白:我从来不会乱点开邮件的链接,因为我很少用邮箱,等我想起来去登录的时候邮件里面那些链接差不多都失效了。
大东:万一碰上一两个没失效的怎么办?
小白:那就不好说了。
五、话说漫威
小白:这张牌有什么特殊技能嘛?
大东:话说漫威世界中,有一位毁灭博士,出身虚构的欧洲小国,自身没有超能力,通过学习和机缘掌握了大量先进科技和魔法知识,属于地球最有智慧者之列。由于在实验中毁容,他戴上了一个金属面具,并开发出不亚于钢铁侠的铠甲。毁灭博士以不惜一切代价追寻宇宙奥秘而闻名,染指过许多宇宙的伟力,多次强到逆天的地步,但最终仍然难免被打败的结局。
小白:那这和 HangOver 有啥关系?
大东:这就是所谓的邪不胜正,毁灭博士具有同样命运还有 HangOver,它曾多次使用社会工程策略,窃取巴基斯坦、中国、伊朗以及美国等国家的敏感信息,但该行动在2103年被发现,曝光于世。
毁灭博士
小白:搜嘎~原来是这样~大东东联想力满分~~