猎云网9月10日报道 (编译:Jasmine)
在微软、苹果这些公司发布新软件之前,他们都会进行代码测试,以确保软件运行正常,并检测是否有bug存在。而黑客和网络间谍也是如此,如果你是他们,你最不愿意见到的应该就是自己用以攻破受害者系统的木马病毒暴露。更重要的是,你不会希望受害者们的杀毒引擎检测到你投放的那些恶意工具。
所以你该怎么做呢?你会向VirusTotal提交你的代码,让它先对你进行下检测,如果能够通过它的检测,那么想要瞒天过海就So easy了。说到这里,你可以会想知道VirusTotal究竟是个什么样的神存在,不要急,我们很快就会讲到它了。
长久以来大家都有这样一个怀疑,黑客以及国家间谍在恶意软件正式启用之前,会先利用谷歌的杀毒引擎进行测试,只是一直没有得到事实验证。不久前,独立安全研究员Brandon Dixon跟踪了几个高调的黑客组织,其中甚至包括两个备受瞩目的国家级黑客团队,在他们通过VirusTotal磨练代码技术,开发间谍情报技术的时候,Brandon Dixon抓了他们一个现行。
“VirusTotal居然反被利用,”Dixon表示:“这真是一个讽刺。我从未想过一个国家会利用公共测试系统做这样的事情。” VirusTotal是一个免费在线服务,2004年由Hispasec Sistemas在西班牙创立,并于2012年被谷歌收购。它集合了包括赛门铁克(Symantec)、卡巴斯基(Kaspersky Lab)、芬安全(F-Secure)等杀软公司推出的三十多种以上的病毒扫描程序。研究人员或者是其他一些人如果在系统里发现了可疑文件,可以上传到VirusTotal,看看扫描器有没有把它标识为恶意文件。但是VirusTotal这套为了保护系统而存在的引擎,却无意间给黑客提供了机会,让他们得以调整测试自己的代码,直到这些代码可以骗过杀毒工具。
Dixon多年来一直对上传文件的数据进行网络跟踪,目前他已经确定了几个黑客和黑客团队,他们一直在使用VirusTotal提炼代码。
他之所以能够做到这些,是因为每一个上传到 VirusTotal的文件都会有元数据保留。这些数据包括文件名以及上传时间,还会把上传者的IP地址进行压缩存储,通过IP地址,我们可以知道这些文件是在哪个国家上传的。尽管谷歌隐藏了IP地址,防止用户信息外露,但是通过散列,我们还是可以知道哪几个文件从同一个IP地址提交出来。并且,很奇怪的是,Dixon监控的好几个黑客组织都喜欢用同一个IP地址来提交恶意代码,一点都不明白狡兔三窟的道理。
使用自己创建的一套解析元数据的算法,Dixon寻找到了一些文件提交的模式和规律,他推测这些元数据属于两个大名鼎鼎的网络间谍团队,其中一个据点应该伊朗出没。Dixon花了几个月的时间观察这些组织,他们利用VirusTotal慢慢完善代码,很快地,扫描器越来越难检测出这些几经打磨的恶意软件。Dixon密切观察着他们,在某些情况下,Dixon甚至可以预测到他们何时会发动攻击以及什么时候用户遭到了攻击——当他看到一些曾经测试过的代码再次出现在VirusTotal上的时候,当一些受害者在机器上发现了它们,并把它们提交VirusTotal进行测试的时候。
至于Dixon是怎么想到研究VirusTotal的元数据这样另辟蹊径的手段,那是因为有安全研究人员反复提出对黑客利用该网站作为测试工具的怀疑。直到现在,他依然不愿意公开讨论他关于元数据的研究,他知道,这将会使得黑客们改变战略,以后更难抓住他们的狐狸尾巴。但是他也说目前VirusTotal的数据库里已经有足够的历史数据,足以让其他研究人员进行研究,寻找出那些他没有发现的漏网之鱼。于是不久前他公开了自己开发的代码,这个代码可以更好地分析元数据,这样其他人也可以独立开始研究。
Dixon表示,一拿到数据就能找出隐藏BOSS这种升级流是不存在的。“找出它们是一件非常困难的事情,当我刚开始关注这些数据的时候,简直一头雾水,恨不得以头抢地,我压根不知道我应该寻找什么,也不知道黑客是怎么炼成的,直到我找了一个黑客出来。”
Dixon跟踪到的伊朗的某个不知名的黑客或者是黑客组织,在过去的6月仅仅一个月里,上传了大约1000个病毒文件,由此获得了大量的防杀软经验。在某种情况下,他们可以一直隐忍不发,直到成功完成调整,足以绕过所有杀毒软件。
现在黑客组织在VirusTotal上的活动已经暴露,不过毫无疑问他们不会收敛,依然会继续使用这个引擎,只是会改变方式,让你更难查到他们。Dixon对此喜闻乐见。只要安全公司确定有谁在VirusTotal上测试恶意代码,他们就能找到机会去寻找他们的蛛丝马迹,掌握他们的特征,在这些代码投放出来之前,创造好对应的防御机制。
Souce:wired
