一個“有故事”的漏洞

黑客大牛余弦曾經(jīng)說過：

每個漏洞都像一個孩子，我看著它出生，璀璨地爆發(fā)，然后又歸于沉寂。就好像我的生命和它產(chǎn)生了某種聯(lián)系。

如果一個漏洞只是被白帽子發(fā)現(xiàn)，然后直接上報官方修復，那么無論它有多么兇猛，終其一生也不可能“璀璨爆發(fā)”。它就像一個天生的囚徒，在短暫的生命里始終負著著手銬和腳鐐。

然而，這個世界偏愛“有故事”的漏洞。就像逃離肖申克監(jiān)獄的銀行家安迪，就像《越獄》中性感迷人的邁克爾。

8651，是一個特殊的漏洞。它的特別之處不僅在于它非常危險，也不僅在于它是Adobe 2015年公布的最后一個漏洞。更重要的是——它引發(fā)了一次超出預計的緊急升級，因為這個漏洞已經(jīng)被人“用過”。

　　【Adobe官方網(wǎng)頁截圖，承認漏洞已經(jīng)被利用】

這次極端反常的升級行為被一些安全研究員注意到，他們在Adobe的升級日志中看到了一條“特別提示”：

該漏洞已經(jīng)被用于有限的、有針對性的攻擊。

然后，Adobe在日志中大方地鳴謝了提交漏洞的研究員：來自華為公司的 Kai Wang 和 Hunter Gao。

　　【Adobe官網(wǎng)有關(guān)鳴謝華為的字段已經(jīng)刪除，在其日文網(wǎng)站上還可以看到】

故事就這樣猝不及防地開始了。一個不是以安全研究為主業(yè)的公司發(fā)現(xiàn)了一個高危漏洞，并且稱這個漏洞已經(jīng)被用于“有針對性”的攻擊。此情此景，讓人忍不住聯(lián)想：“其實華為就是這個受害者吧。”對于媒體的猜測，華為擺出了一張撲克臉。耐人尋味的是，幾天之后“豬隊友”Adobe的網(wǎng)站上悄然刪去了有關(guān)華為的那段“特殊鳴謝”。

納尼？黑客可能在搞中國公司？此事一出，天朝的各大安全公司個個振奮，摩拳擦掌準備“搞一票大的”。不過，整個事件除了“出爾反爾”的Adobe和“守口如瓶”的華為，似乎沒有其他的突破口。

“猛料”到手

面對這種信息極度缺乏的“威脅情報”，找到線索成為了“破案關(guān)鍵”。為了一點信息，苦逼的安全研究員往往要使出渾身解數(shù)——時而化身特工，時而化身民工。這一次幸運之神降臨在了微步在線身上。

微步在線CEO薛鋒臉上綻放著神秘的微笑，向雷鋒網(wǎng)講述了他的重大突破。他依靠這張混跡了安全圈十多年的臉，從“打死都不能說是誰”的線人手里拿到了攻擊者使用的“彈藥”——一個Doc文檔。這個Doc文檔被發(fā)送給某企業(yè)的高管，在文末附上了一個鏈接，這個鏈接會下載一個Flash文檔，利用前文提到的漏洞，這個文件會自動向電腦里植入木馬。

打開文檔就能看出，黑客對攻擊對象非常熟悉，文字內(nèi)容也全部合情合理，讓人很容易就會打開文末的鏈接。只要下載了鏈接中的文件，就中了黑客的圈套。

出于對線人安全的考量，薛鋒沒有展示這個Doc文檔。不過他證實：“這次攻擊的目標是一家通信企業(yè)。”

薛鋒和他的團隊可能是世界上絕無僅有的懷著喜悅心情下載這個木馬的人。一旦活捉這個木馬，他們就可以分析出黑客的攻擊細節(jié)。以薛鋒的經(jīng)驗看，這個木馬不僅狡猾，異常謹慎，而且技術(shù)高超。

1、木馬本身“做工”極為精巧，它掏空了一個開源工具，并且把攻擊程序塞進開源工具之內(nèi)。從外表看，這就是一個鑰匙生成器，而實際上這個生成器還可以工作，只不過在正常工作之余，順便對你進行“致命一擊”。

2、木馬會對電腦上的殺毒軟件做詳盡的排查。從逆向出來的代碼來分析，這個木馬手里有一份包括BAT3、卡巴斯基等近百個主流殺毒軟件的名單。如果檢測到了名單上的任何一個殺毒軟件，木馬都會選擇蟄伏，不會進行攻擊動作。

3、木馬會對運行環(huán)境進行“沙箱測試”。所謂沙箱，就是安全軟件為了防止病毒破壞而對可疑文件進行隔離的運行環(huán)境。木馬一旦發(fā)現(xiàn)自己運行在沙箱之中，它也不會進行任何攻擊動作。

4、這個木馬的攻擊行為調(diào)用了HTA文件。這種文件極為冷門，很少有黑客會選用這個微軟1999年引入的文件類型。從這一點上看，木馬的制作者對于微軟系統(tǒng)有著非常深刻的分析。

如果不是“東窗事發(fā)”，這個程序看起來完全不像一個兇殘的木馬。就像某個變態(tài)殺人狂，平日里看起來就是一個文質(zhì)彬彬的程序猿。

“暗黑客棧”獠牙浮現(xiàn)

掌握了如此詳盡的攻擊細節(jié)之后，薛鋒把這些手法和他手上掌握的資料做了比對。他的腦海中浮現(xiàn)出了一個臭名昭著的黑客組織——“暗黑客棧”。

暗黑客棧，讓人聯(lián)想到做人肉包子的孫二娘。但是這個毫不低調(diào)名字并不是黑客自己取的，它來自于首次發(fā)現(xiàn)這個組織的卡巴斯基。之所以叫暗黑客棧，是因為他們的主要攻擊手法是侵入酒店的Wi-Fi網(wǎng)絡，對入住的大公司高管的電腦進行攻擊。具體的攻擊方法，可以參考雷鋒網(wǎng)之前的文章《開房有風險？黑客組織“暗黑客棧”盯上中國高管》。

根據(jù)這個組織以往的“案底”來看，他們進攻的主要目標都集中在亞洲，而且以中國為主，零星分布在日本、韓國和東南亞。但是，這并不能證明他們的攻擊對象國籍非常分散。由于他們進攻的IP多為酒店，所以很難確定他們的目標究竟是外國人還是在國外出差的中國人。嚴格來說，這是第一次有中國安全公司掌握有關(guān)暗黑客棧如此詳盡的信息。僅從本次攻擊來看，他們的目標非常明確——中國企業(yè)。比對以往的資料來看，他們有可能一直在搞中國企業(yè)。

　　【微步在線發(fā)布的本次攻擊特征和歷史數(shù)據(jù)比對】

這讓人想到了知道創(chuàng)宇CEO趙偉的一段自白：

每次我到國外演講，都會遇到責難。他們指責中國黑客對他們進行了大量的網(wǎng)絡攻擊。事實上中國遭受的攻擊更多，我感到很委屈，恨我們有這么多黑客，卻拿不出遭受攻擊的證據(jù)。

種種跡象表明，暗黑客棧并不是“海淀銀槍小霸王”之類的街頭混混級別，而是有組織有背景的“山口組”。如此說來，這次活捉“大魚”暗黑客棧，可以讓趙偉“瞑目”了。事實上，這并不是中國安全人員第一次定位針對中國的APT（Advanced Persistent Threat 高級持續(xù)性威脅）。2015年5月，安全公司安天揪出了針對中國海事機構(gòu)持續(xù)攻擊了三年的黑客組織“海蓮花”，把它定性為：國外政府支持背景的、高度組織化的、專業(yè)化的境外國家級黑客組織。

　　【海蓮花（OceanLotus）使用的域名和服務器分布圖】

然而，薛鋒認為暗黑客棧的Level并不比海蓮花低。

如果說我們（中國安全公司）的水平是大學生的話，一般的黑客組織充其量是小學生。但暗黑客棧是和我們一樣的大學生。

那么，只剩下了最后一個問題：暗黑客棧機關(guān)算盡，究竟想要從中國得到什么呢？

永無絕斷的“暗戰(zhàn)”

黑客的行事方式可以分為兩種：

精準型——指哪打哪。以獲得特定信息為目標，并不直接斂財。窮技術(shù)之所極，為達成更高的目標創(chuàng)造可能性。類似于詹姆斯·邦德之類的特工。

撒網(wǎng)型——廣撒網(wǎng)，多斂魚。用通用的掃描方法直接盜取大量的信息或財物。雖然可能產(chǎn)生可觀的直接經(jīng)濟效益，但是這種黑客并無遠謀，最多算是沒有背景的犯罪分子。

暗黑客棧顯然屬于前者。在他們的木馬攻擊過程中，有些行為耐人尋味。例如：

1、他們會經(jīng)常改變活動時間，讓追蹤者無法用作息時間來推斷黑客所在的時區(qū)。

2、他們會用不同語言的操作系統(tǒng)來編碼，讓追蹤者無法判斷其國籍。

3、每次攻擊行為之后，程序會自動抹掉攻擊痕跡。

雖然歷次攻擊都是針對商業(yè)公司，而不是政府，但這些行為特征已經(jīng)凸顯出了一定的政治對抗性。而且，本次攻擊中所采用的0day漏洞在市場上的價格大約為20-60萬人民幣。如果這個漏洞是暗黑客棧自己挖掘的，那么他們需要有相當強的技術(shù)實力。如果這個漏洞是他們購買得來的，則需要雄厚的資金實力。薛鋒判斷，想要做到“暗黑客棧”的成績，至少需要百萬級別的投入。

那么，這些黑客究竟來自那個國家呢？他們的背景是什么呢？

薛鋒說，對于暗黑客棧的人員，微步在線已經(jīng)有了基本的定位，對他們的背景也有了合理的判定。但是，現(xiàn)在并不是說出來的最佳時機。

但是現(xiàn)在敵人在明我在暗。如果現(xiàn)在暴露了我掌握的全部信息，那么敵人就會變得更加難以對付了。事實上，由于漏洞的暴露和“白帽子”的追蹤，暗黑客棧已經(jīng)關(guān)閉了服務器的一些接口。我們需要時間來做更多的研究。

暗黑客棧在變得更加警覺，安全研究員的難度在加大。但讓人并不愉快的現(xiàn)實是：對于網(wǎng)絡空間里國家之間的攻擊、企業(yè)之間的攻擊，并沒有有效的方法實行反制。對于這種永難禁止的攻擊，能做的只有加強守衛(wèi)。對于暗黑客棧來說，也許只有詳細曝光他們歷次的犯罪軌跡，才是令其收手的最好武器。

在此之前，這臺黑暗的服務器還將繼續(xù)運轉(zhuǎn)。