记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

独家连载 | 零日漏洞:震网病毒全揭秘(第十九章)

第十九章  数字潘多拉2009年5月30日,震网的一个新版本即将登陆伊朗的几天前,巴拉克奥巴马总统正站在白宫东侧大厅,对一众新闻记者发表关于美国网络安全(cybersecurity)问题的重要演讲。“今天,我们正处在一个即将发生重大变革的历史关头,”他说,“一个从未如此互联的世界呈现在我们面前,前景无限光明,同时也暗流涌动。”演讲中的奥巴马奥巴马说,正如我们以前在公路、铁路、桥梁等实体基础设施领域投资不足一样,我们在网络安全领域的投资也是欠账累累。他警告说,网络入侵者已经攻破过我们的电网,其他国家还出现过因网络入侵而全城停电的事故。“目前的现状不可接受,我们的网络空间从未像今天这样危机四伏。”1年后,震网曝光了。这让奥巴马1年前这番大义凛然的话成了令人尴尬的谈资。公众了解到,美国政府通过侵略性的网络攻击侵犯了别
发布时间:2015-12-06 09:05 | 阅读:192125 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(63)

新官上任三把火。奥巴马的智囊团真不是盖的,从选战承诺到就职演说,再到伊朗新年的温情演讲,大道理小道理全让美国一人占尽了。这些都是战术佯动啦。先礼后兵,你懂的……第十六章 奥运会(接上)2009年初,总统候选人巴拉克·奥巴马应邀去往白宫与布什总统会面,商讨新老领导人权力交接有关事宜。在交谈中,布什谈到了在过去一年中,对纳坦兹离心机实施破坏性网络攻击的细节。这项行动确实起到了推迟伊朗核计划的作用,但效果不算特别明显,而且需要更多时间才能取得更大进展。如果行动继续,那么必须得到在任总统的授权,这意味着奥巴马必须签署一项新的总统调查令,以批准该行动。考虑到当时除了发动空袭之外,似乎没有什么其他选择,因此没费多少唇舌,奥巴马就对这事点了头。2008年夏天,在总统选战当中,奥巴马曾亲赴以色列拉票,并告诉以色列人,他“可以感
发布时间:2015-12-05 02:55 | 阅读:57222 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(62)

可以说,大多数人对震网的了解都是“只知其一不知其二”。为什么?因为,从2007年开始,震网的攻击就取得了巨大的成功。有意思的是,伊朗人一直蒙在鼓里……第十六章 奥运会(接上)在纳坦兹,级联系统的安装共分为3个阶段,IAEA核查人员则跟踪了每个阶段的实施过程。首先,要安装管道、气泵和阀门等级联系统的基础设施;然后安装离心机,转子开始旋转。这时,真空泵会将可能造成过大摩擦力和过多热量的空气排出腔外。当离心机转速达到额定值后,含铀气体被泵入,铀浓缩进程启动。纳坦兹一共有两个巨型地下车间。在2007年初的时候,伊朗人就开始在其中一个车间(编号为车间A)安装离心机了。如前所述,这个车间分为8个机房,编号分别为A21至A28,每个机房可安装18个级联系统,每个级联系统可容纳164台离心机。因此,每个机房中都可以安装离心机2
发布时间:2015-12-03 20:45 | 阅读:64363 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(61)

震网0.5版的本事有多大?传播层面,它成功穿越了物理隔离;攻击层面,它的复杂程度完全不逊于后续的版本……第十六章 奥运会(接上)与此同时,用于对离心机进行攻击测试的“小山”地上部分设施也在建设当中。据信,初期的主要研究目标是,判断对纳坦兹实施动能攻击(kinetic attack)会对离心机造成何种程度的破坏。后来的研究中,“网络攻击对离心机的影响”才得到了与“空袭对地下核设施中离心机的影响”同样的关注。而人们一开始提出网络攻击的思路时,并没有想到使用病毒直接破坏纳坦兹的离心机,而只是考虑在铀浓缩工厂的设备中植入用于侦察的恶意代码,帮助研究员判断伊朗铀浓缩的实施进度。但在某个时点,用于直接破坏离心机的网络攻击项目和之前的网络侦察项目合二为一,形成了一个完整的数字动能打击(digital kinetic atta
发布时间:2015-12-03 05:40 | 阅读:72161 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

【零日漏洞】网络空间的金矿(中文字幕)

新的淘金热已经在互联网上出现,甚至已然与大家自己的计算机息息相关。作为未被数字化保护机 制锁定的通道,秘密后门的数量已经超出我们的控制能力。幸运的是在没有规则加以约束的网络世界当中,“白帽”黑客挺身而出保护着我们的安全。而他们的天敌 “黑帽”黑客则对网络中的不安全因素充满兴趣,并乐于将自己发现的安全漏洞卖给出价最高的买家——大多是安全服务与网络防御供应商。那么这些黑袍与白袍巫 师究竟是何许人也?0-day漏洞这一圣杯最终又会被谁为取得? E安全特为大家带来荷兰公共广播组织VPRO制作这部记录片的中文字幕版,让我们一起来了解下网络世界的 0 day漏洞吧。 “零日漏洞”(zero-day)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种
发布时间:2015-12-03 01:20 | 阅读:89818 | 评论:0 | 标签:国际观察 安全播报 视频专区 黑客在线 零日漏洞 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(60)

要攻击伊朗离心机,必然需要大量离心机实物做实验。这么多同型号离心机,美国人到底是从哪里得来的?对这些离心机的研究和实验,又是谁做的?在哪里做的?……第十六章 奥运会(接上)攻击者为了获取所需数据,可能要耗时数月。某些侦察行动可能始于2005年,就是攻击者为“震网0.5版指挥控制服务器”注册域名的那段时间。虽然当时震网还没上线,但那些域名已经开始充当先头侦察部队的指挥控制服务器了。还有一些侦察行动可能始于2006年5月,就是攻击者为“震网后期版本指挥控制服务器”注册域名的时间节点。一旦情报收集完成,攻击代码最后阶段的制作任务随即展开。赛门铁克估计,针对315型PLC和417型PLC的攻击代码,是由两支团队各自独立编写而成的。但是,到底是两支团队均为美以混编,还是以色列人负责编写导弹而美国人负责编写载荷,谁也弄不清
发布时间:2015-12-01 23:30 | 阅读:78503 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(59)

在伊朗核问题的外交争端开始前,美国人已经提前3到6年做好了发动相关攻击的储备;只待一切外交斡旋和制裁失效之后,才于2006年把这些攻击代码从储备库里拿了出来……第十六章 奥运会2012年,震网的出现,让钱哥对行业的前景深感不安。而4年前,震网的设计者们也有着类似的感受。让他们头疼的,是伊朗即将成功造出核武器的可怕现实。2008年4月,出于宣传方面考虑,在铀浓缩工厂竣工投产两周年之际,内贾德总统安排了一场高调的参观之行。借此机会,武器控制专家们得以首次窥见这座神秘工厂的真面目。身着工厂技术人员的制服——白大褂、蓝皮靴的内贾德,让记者们为他拍下了参观控制室计算机的多张照片。照片上显示着“和平”的字样,背景是由表情严肃的科学家和官僚组成的随行团队,和如受阅士兵般盛装列队摆放的一人多高的离心机。 内贾德总统办公室随后发
发布时间:2015-11-30 17:20 | 阅读:68942 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(57)

你能想象到的最变态的加解密算法是怎样的?让高斯秀给你看。要想在攻击行动中万无一失,如此行事方为王道……第十五章 火焰(接上)为了预防载荷暴露,攻击者还采取了另一种保护措施。我们知道,震网载荷的解密密钥是放在恶意文件内部的。而要想解密出高斯的弹头,必须根据目标计算机配置数据,动态生成解密密钥。为同时确保“不会误感染非目标计算机”和“即使发现也无法暴力破解”这两个目标,攻击者精心设计了非常变态的密钥生成机制。首先,高斯会收集目标计算机的特定配置数据,包括某些目录、程序文件夹和其他本地数据,然后将它们的文件(夹)名跟“Windows Program Files文件夹中每个子文件夹名”一个接一个的连接起来,生成一个很长的字符串。之后,高斯会让字符串与一个特殊的值相加,然后用MD5哈希算法运行10000轮,每一轮的结果作
发布时间:2015-11-28 20:05 | 阅读:78693 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(58)

随着震网0.5版浮出水面,震网之谜彻底告破。但网络安全行业的格局已然生变。一边是国家背景的哥斯拉级玩家,一边是安全产品和服务的亿万用户,卡巴斯基和赛门铁克们该何去何从?……第十五章 火焰(接上)2012年11月,震网曝光距今已过两年有余,毒区和火焰也已经是陈年旧事。突然有一天,赛门铁克研究员偶然间发现了一个他们曾经朝思暮想却未能得见的线索——出现在震网已知版本之前的一个早期版本文件。赛门铁克公司有一个“定期整理恶意代码档案库以查漏补缺”的传统。这一次,就在他们用震网特征码进行搜索,看有没有和它匹配的目标时,一个从未见过的代码片段弹了出来。自从有人于2007年11月15日上报给VirusTotal之后,它就一直静静的呆在那里。这个证据充分表明,震网第一次发动攻击的时间,要早于赛门铁克之前的判断。如前所述,他们一直
发布时间:2015-11-28 20:05 | 阅读:76297 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(55)

遭到火焰攻击的,是Windows自动更新系统!微软要疯!卡巴斯基的研究员将这部分代码比作“上帝制作的漏洞利用程序”!火焰是如何做到的?……第十五章 火焰(接上)这天是美国阵亡将士纪念日的假期,当火焰病毒曝光的新闻出现时,位于华盛顿州雷德蒙德的微软公司总部根本没几个人上班。不过,公司应急响应团队一听说这场新攻击与震网和毒区来自同一批攻击者,立刻下载了火焰病毒的文件样本。他们想知道,这场新的攻击有没有像震网和毒区那样利用了Windows系统的零日漏洞。当他们仔细分析其中一个文件时,他们意识到,他们看到的,是比零日漏洞更为恐怖的东西——火焰攻击了微软的Windows自动更新系统,以实现其在局域网内传播的目的。Windows自动更新系统,是微软用于向广大用户分发软件更新包和安全补丁的自动推送系统。要获得更新,需要用户计
发布时间:2015-11-25 16:40 | 阅读:81155 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(54)

据推测,火焰于2006年开始研发,2007年上线。那么,在震网攻击伊朗核设施的行动中,火焰发挥了怎样作用?毒区呢?……第十五章 火焰(接上)用于支持火焰基础设施和资源同样规模巨大,让研究员们大开眼界。他们在德国、荷兰、瑞士等地共发现了至少80个用作指挥控制服务器的独立域名。攻击者通过这些服务器,控制染毒计算机、收集盗取文档。据推测,攻击者注册如此众多域名的目的,是根据任务和目标属性的不同,对各类目标实施分别管控。为了注册这些域名,攻击者使用了伊凡·布里克斯(Ivan Blix)、保罗·卡尔查内塔(Paolo Calzaretta)、特瑞安·卢瑟苏(Traian Lucescu)等大量假身份,并通过预付信用卡进行支付,以隐藏其真实身份。卡巴斯基的研究员建了一个槽洞,可获得大约30台服务器的同步数据流。槽洞建好之后
发布时间:2015-11-25 01:35 | 阅读:69486 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(52)

Showtime热播电视剧《嗜血法医》中,德克斯特既是法医专家,又是地下杀手,但他只杀罪犯。毒区中的漏洞利用程序,竟然在向他致敬。然而,天网恢恢,疏而不漏。胆敢攻击CA,让他们最终吞下了暴露的苦果……第十四章 震网的子孙(接上)起初,谁也不知道毒区是怎样实现感染的。震网利用了一个.LNK零日漏洞,将U盘上的恶意文件植入目标计算机。但CrySyS实验室在巴图斯公司的染毒计算机上,没有发现病毒注入器,也没有发现零日漏洞。钱哥也意识到了这个问题。在赛门铁克发布毒区消息后,他请求本恰特再次对匈牙利目标公司的系统进行排查,看在8月11日毒区被发现前后,还有哪些可疑迹象。之后,钱哥得知,当时,NetLock公司曾收到一封附有Word附件的电邮。附件大小为700k,比公司平时所收邮件中的附件大得多。这引起了他们的高度重视。果
发布时间:2015-11-24 10:30 | 阅读:74613 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(53)

500k的震网已是独步天下,再大还能大到哪儿去呢?火焰笑了。我有40个震网那么大!!65万行代码!!第十五章 火焰2012年春天,卡巴斯基团队终于完成了对毒区及其服务器的分析工作。同时,他们相信,其中仍有一些未知数,有待进一步探索。即便是他们自己,都没有想象到会得出这样的结论:如此大胆而具破坏力的震网,居然只是一系列大型网络攻击行动中的一个分支而已。4月,新的攻击出现了。伊朗石油部和伊朗国家石油公司中发现一种新病毒,其功能是清除每一台染毒计算机上的所有硬盘数据。它的破坏行为既系统又彻底,可以一次性删除几个G的数据。病毒攻击的具体步骤是,先删除文档和数据,再删除系统文件,最后摧毁硬盘的核心部分,造成不可逆转的损毁。到底有多少台计算机遭到了感染尚不得而知,但有传言称,去年12月就有计算机被这种病毒攻击了。起初没人注
发布时间:2015-11-24 10:30 | 阅读:77445 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(50)

赛门铁克发现,毒区很可能就是继震网之后再次攻击伊朗的“星辰”病毒。于是,他们发布了毒区的报告。报告中虽然隐去了CrySyS的身份,好事者还是人肉到了匈牙利的受害者——一家数字证书认证机构(CA)。这可不得了。即将有大事发生的味道,引来了错过震网的各路豪杰……第十四章 震网的子孙(接上)这些都很容易理解,但当继续深入毒区代码时,他们发现了另一个线索。它似乎与另一场已经困扰他们几个月的攻击之间有所联系。6个月前,伊朗官员宣称,他们的计算机遭到了来自跟随震网而来的第二次攻击。这时,距离他们首次承认“用于控制离心机的计算机遭到网络攻击”已经过去了几个月。上一次,他们没有给攻击离心机的病毒命名,但这一次他们给病毒起了一个好听的名字:“星辰”(Stars)。伊朗民防部长吴拉姆-雷萨·贾拉利(Gholam-Reza Jala
发布时间:2015-11-20 00:55 | 阅读:83562 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(49)

本恰特意识到自己能力有限,必须找些好帮手才行。于是,“毒区”代码又一次来到了钱哥、莫楚和法里尔的手上。破解震网那么难都过来了,小小的毒区算什么?团队轻踩油门,一个周末搞定……第十四章 震网的子孙(接上)本恰特立即把他的发现写成了一封电邮,发给了巴图斯。这段时间,他们一直处于一种比较轻松的工作状态中,有时间就分析一下代码,没时间就把它放着。但现在,他开始意识到,必须尽快查出攻击的目的,并把相关信息公诸于众,以便让更多的人参与进来。当年赛门铁克发布了震网的研究报告后,有人就在疑惑,为什么美国没有从中作梗,不让他们公开呢?而这一次,本恰特也有着类似的担心:一旦他公开研究结论,很可能会有人出来对他横加干涉。周一,本恰特找来了他的两个同事莱文·布詹(Levente Buttyán)和戈博·派克(Gábor Pék),组建
发布时间:2015-11-18 18:45 | 阅读:144474 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

独家连载 | 零日漏洞:震网病毒全揭秘(48)

震网已成往事。短短几个月后,匈牙利的一家公司又发现了一种与震网极为相似的病毒。谁干的?原班人马,还是跟风模仿的其他黑客?这一次,它的目标不是PLC,那到底是什么呢?……第十四章 震网的子孙2011年春天,震网的余波似已渐渐消散。赛门铁克确定,震网攻击的目标设备是某型号的变频器;奥尔布赖特确定,使用这些变频器的就是纳坦兹的离心机。虽然美国政府没有对此事正式表态,但《纽约时报》以长篇报道的形式印证了人们对“美以操盘震网”的怀疑。对赛门铁克而言,它该尽的责任都尽到了。研究人员放下公司的业务,花了半年时间破解代码,还整理发布了一份涵盖他们所有发现的70页的档案。他们对此感到非常欣慰。然而,没过多久,欧洲又传出了新的消息——有证据表明,震网不过是攻击者用来攻击伊朗和其他目标的一系列武器之一。布达佩斯技术和经济大学加密和系
发布时间:2015-11-18 03:40 | 阅读:86788 | 评论:0 | 标签:热点 零日漏洞 震网 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词