【Essay】国家的Hacker攻击-windhawkgyang-ChinaUnix博客

Windhawk'CUwindhawk.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

windhawkgyang

博客访问： 3036420
博文数量： 167
博客积分： 613
博客等级：中士
技术积分： 5473
用户组：普通用户
注册时间： 2011-09-13 21:35

个人简介

人, 既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,无他,唯智慧耳。

文章分类

全部博文（167）

滴水穿石（2）
菜鸟上路（117）

大数据分析（8）

Python（17）

C/C++（26）

系统与网络安全（43）

hadoop（18）
MetaSploit（10）
Windows核心编程(（11）
Network Programm（1）
深入理解计算机系（11）
未分配的博文（15）

文章存档

2015年（19）

2014年（70）

2013年（54）

2012年（14）

2011年（10）

我的朋友

相关博文

【Essay】国家的Hacker攻击

分类：网络与安全

2014-10-29 18:22:22

最近好久没有来更新CU了，原因是事情确实比较多，加之自己也有些懒了，所以也没有去学习新的东西。上周自己看了篇今年USENIX的论文《When Governments Hack Opponants: A Look at Actors and Technology》，感觉很有趣，今天将这篇论文大致做下介绍。
一、论文的背景
这篇论文研究的内容与时下热门的APT有很大的相关性，因为论文中的研究揭示了国家在针对个人的HACK行为时，更多的是借助社工（社会工程学）的形式，比如社交信息、邮件等，以此安装恶意程序。这很像APT攻击的初始阶段，通过社工敲开目标的大门。
APT攻击是近几年才发现的攻击模式，其全程是Advanced Persistent Attack（高级可持续攻击），其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信体系和应用系统的漏洞，利用这些漏洞组建攻击者所需的僵尸网络，并利用0day漏洞攻击。APT区别于传统攻击最大的特征是潜伏性、持久性和战略性，即发作时很有可能已经暗中潜伏几年；潜伏阶段不断挖掘新漏洞，尝试新的攻击行为；目标不再是为了短期盈利，而是为了国家或组织战略利益考量。以最近的一次针对Google的极光攻击为例，可以很好地帮助我们从感性上认识APT攻击：

二、论文案例
论文通过连续几年从相关的人员那里收集可疑的社交信息、链接以及邮件，分析其携带的恶意代码，持续跟踪，发现了背后的诸多政府行为，并且揭示刻画了与之相关的众多C&C服务器地域图。
论文主要针对三个国家的案例进行分析：巴林岛、叙利亚以及阿联酋。分析的对象是针对反对派、民主人士、外国媒体或企业的人员的Hack行为，目的是获得机密信息，作为政治强制措施或谋取政治利益的工具。这里不再逐个叙述每个国家的案例，而是概括下总的攻击形式，也许这样对于我们而言更为有价值。攻击大体分为两类：
1. IP定位攻击：这类攻击的主要目的就是定位目标的IP，从而获知地理位置，确定真实身份，予以逮捕。比如巴林岛的某位学生在Twitter上发布了侮辱现任领导人的言论，随后收到了之前认识的一位志同道合的好友RedSky发来的友好链接，标题是现任领导人的丑闻照片，学生立刻点击，却不料自动被定位到了IPlogger.com，暴露了真实的IP地址，随后该学生被捕判刑4个月。类似的攻击案例有许多，大多都是通过信任之人发来的链接导向了攻击者设立的IP-SPY服务器，从而获知该社交虚拟账号的IP地址，从而实施抓捕。当然，也可以使用邮件携带链接的形式攻击，整体的攻击生态图如下：

2. FinSPY及RCS攻击：此种攻击的主要目的当然不再仅仅满足于定位目标，更强调对于目标信息的获取以及长久潜伏，以实施更有价值的攻击。此类攻击往往通过三种形式Seeding攻击载荷：1）社交私人信息附带链接；2）对方信任的论坛或讨论组发带有恶意代码的帖子；3）邮件附件。攻击的载荷也主要分为三类：1）.zip/.rar文件，内含PE文件；2）下载文件的链接；3）驱动目标点击的暗中下载链接（比如一个视频链接）。最终安装攻击载荷，一般是一段shellcode，下载真正的僵尸客户端后，加入botnet，开始密码窃取、文件传输、屏幕截取、输入截获等各种机密信息攻击行为。

3. 攻击伪装：既然实施的社工攻击，那么在具体实施的时候，关键是达到欺骗的目的，关于欺骗的方法，大致都是对于攻击载荷进行一定程度的伪装，比如1）利用RLO技术伪装文件显示，如本身的gpj.123.exe文件，利用RLO技术来显示就是exe.321.jpg，我们看到的是一个图片（RLO是阿拉伯字符中的一个控制字符，使得系统从右向左显示，但是并不局限用于阿拉不语言系统）；2）伪装功能模块，如伪装成安全软件工具，或正常软件的加强供呢个，比如在skype网络电话上添加加密模块，在用户点击加密通话的时候，其实质暗中执行了攻击载荷的下载和安装等；

三、攻击范围刻画
针对特定的FinSPY和RCS工具的特点，分析其C&C协议，作者向全球的服务器发起协议连接请求，最终探测到了大量的C&C服务器，并且戏剧性地发现其中许多掌握在相关政府手中：

四、我们学到了什么
读完这篇论文，大体是针对攻击案例的分析，那么在这之后，作为普通的读者的我们，可以学习到什么呢？
1. 安全分析方法：

分析特定的恶意代码必须在VM下进行；

分析网络流量wireshark；

开源恶意软件分析平台：virustotal:

各种逆向解包工具；
2. 关于社工：
社会工程学攻击是针对人的信任关系实施的攻击，是不能单独通过技术解决的，必须通过不断的教育和培训，提高相关人员的安全意识，常见的社工手段有：

其实除了上面提到的，真正的社工完全没有条条框框，边界在于想象力如：门口捡到U盘，赠送升级软件，或意外中奖获得笔记本电脑等等。真正的安全不在于技术，而在于人的意识以及行为。
希望本文可以对大家认识社工有所帮助。最后，作为测试的演示，自己试着对全班同学以课代表身份发送邮件：大家没有怀疑的都下载了论文，只有老师产生了怀疑，哈哈~~