Google查毒网站VirusTotal:帮了黑客的忙
英文原文:A Google Site Meant to Protect You Is Helping Hackers Attack You
像微软和苹果这样的公司,在发布新软件前,代码都会通过复检和测试,以免有任何漏洞。黑客们也会如此做,他们最不愿看到的就是木马破坏受害者的 系统后被发现。更不希望杀毒软件监测到恶意程序。那他们怎么办呢? 将代码发送给 Google 的 VirusTotal 网站,请他们帮忙做测试。
Google 帮了黑客的忙
一直有人怀疑黑客和国际间谍会使用 Google 的杀毒网站测试他们的程序(发起攻击前)。现在,一位安全研究员在跟踪几个知名的黑客团伙后发现,著名的国际团队组织使用 VirusTotal 网站来完善他们的代码,研发间谍程序。这听起来挺讽刺。
VirusTotal 于 2004 年由 Hispasec Sistemas 在西班牙创立,2012 年被 Google 收购。该网站一直提供免费的网络服务,聚集了 Symantec、卡巴斯基实验室、 F-Secure 等机构研发的数十个杀毒软件。如果有人发现可疑文件,向该网站上传,通过杀毒扫描后就能确认是否为恶意文件。该网站本可以阻止网络恶意程序,但也变向为黑 客提供了可乘之机,为他们的恶意工具做测试。
几年以来,Dixon 一直在跟踪上传到该网站的代码,通过每一个上传文件的关联数据发现一些黑客或黑客组织,甚至能够发现袭击目标。每个上传的文件会留下用户的元数据痕迹,包 括文件名称,上传时间,上传者 IP 地址的散列值和国籍。虽然 Google 隐藏了 IP 地址,但通过散列值仍能够发现同一个地址的上传文件。奇怪的是,Dixon 监测的几个组织使用的是同一个地址,重复多次提交恶意代码。
Dixon 通过他发明的算法解析元数据,他曾跟踪到了中国和伊朗知名黑客组织提交的文件数据轨迹。数月后,他监测到了黑客们修改、研发恶意代码的过程,以及躲避的杀 毒软件数目。他甚至能够预测黑客们发起攻击的时间。有时他看到某些黑客测试过的代码再次出现在 VirusTotal 网站上,这是由受害者方发现并提交上来进行检测扫描的。
跟踪黑客组织
Comment Crew(注释组)黑客组织被安全研究员们称为“APT1 ”,据称基地在中国,之前还攻击过纽约时报。据报道,自 2006 年以来,注释组还黑过可口可乐以及某些政府机构。最近,该组织把目标转向了美国基础设施,盯上了像 Telvent 这样的公司,该公司控制着美国部分软件系统,包括电网、石油、天然气管道以及水下系统。Dixon 跟踪的组织并不是“注释组”主要部分,而是其分支团队。
他还跟踪到了 NetTraveler 组织,猜测该组织基地在中国。近十年来,该组织攻击过政府、外交部门、以及军方机构。该组织显然忽略了一个事实:他们的行踪会被跟踪到。不过“注释组”曾通过不同的独立 IP 地址提交代码,这说明他们已经开始警觉了。
安全研究员们一直怀疑黑客利用 VirusTotal 做恶意代码测试,后来 Dixon 便开始挖掘 VirusTotal 的元数据。现在他不太愿意公开讨论他的元数据工作进程,因为可能打草惊蛇,让黑客们改变策略,跟踪难度就更大了。但他表示,现在 VirusTotal 的存档数据已经足够让其他安全研究员一起来跟踪黑客活动。本周他发布了一组用于分析元数据的代码,便于其他研究员进行跟踪工作。
Dixon 称:“起初要在数据中发现黑客组织很难,我首次看到这些数据时,不知从何入手,直到我发现黑客后才知道这些来龙去脉。”
偷看黑客改良恶意代码
通过元数据,黑客的工作细节被 Dixon 一览无余。在他跟踪观察的三个月期间,“注释组”将他们的恶意程序的每一条代码都修改了一遍,并增删了一些功能。他们添加了其它攻击漏洞代码,但破坏了其 它部分的攻击功能,随后又进行了各种修改测试,整个过程都在 Dixon 的观察之下。
2012 年 8 月到 10 月观察期间,Dixon 根据“注释组”修改恶意文件代码、重命名文件、移动文件内容、删除代码控制服务器的 URL 链接等一系列活动,摸清了他们的行动流程。黑客还测试出了两款包装工具,用来压缩恶意软件的大小,并对它进行包装隐藏,避开杀毒扫描。但这些方法只部分奏 效。黑客们将能监测出他们代码的服务器减少至 2 到 3 个。只需要杀毒引擎发现不了恶意代码,就无需进行频繁更改。虽然 Dixon 通过杀毒引擎检测到了一些恶意代码,但是隐藏较深的恶意代码只能被人们不常用的杀毒引擎发现。
即使“注释组”有时对攻击代码进行大幅修改,但有些字符串他们从未改动过,比如用于木马与控制服务器之间交流的字符串,这让 Dixon 得以研发电子签名,侦测和截获目标机器上的恶意活动。他们在某些特殊攻击中的加密钥匙也从未变动过,一直使用着 MD5 散列加密技术中的 Hello@)!0 字符串。多数时候,他们向 VirusTotal 网站提交代码时只启用了 3 个 IP 地址。Dixon 认为这些黑客经验不足,组织内没有严格的监管。
通过恶意代码发现受害者
Dixon 经常能跟踪到这些上传到 VirusTotal 网站的文件,并与到受害目标建立连接。有时他能够测算出代码测试结束到发起攻击所花的时间。多数时候“注释组”会在测试结束几小时或几天后发起攻击。比如 2012 年 8 月 20 日,一个漏洞代码在测试结束两天后出现在目标机器上。
跟踪 NetTraveler 时,Dixon 也采用了相同的方式。2009 年,该组织开始在 VirusTotal 露面,随后测试活动越来越频繁,每年的测试量成倍增加。2009 年他们提交了 33 个文件,去年则达到 391 个,今年已经提交了 386 个文件。更让人震惊的是,他们甚至上传从受害者机器中偷来的文件。Dixon 觉得这非常讽刺,这些黑客可能想测试这些文件,看在己方机器上打开前,是否会被感染。
Dixon 跟踪的伊朗黑客组织于去年 6 月出现在 VirusTotal 上。一个月后,该组织上传了约 1000 个攻击文件,隐蔽性超强。他们甚至利用存在了两年之久的漏洞,并加以修改来躲避杀毒扫描。此外,Dixon 还发现了疑似 PlugX 黑客组织上传的文件。据称,PlugX 来自中国,于去年开始露面,并在不断壮大。自 2013 年 4 月以来,PlugX 在 VirusTotal 中上传了约 1600 个文件,每次上传都使用了不同的 IP 地址。
虽然黑客们在 VirusTotal 的活动已被曝光,但毫无疑问,他们会改良技术躲避跟踪,继续使用 VirusTotal。Dixon 认为这并无大碍,因为只要安全公司们保证上传的代码如有攻击可能,在代码传播之前,他们会跟踪这些代码字符串并做出相应的数字签名,做好一系列防御机制工 作。