医院订阅哦!引言:事实上,在物联网安全的上一篇文章《作茧自缚:“最强”黑客组织遭“黑”,疑曾为美国服务!》中,我们曾经为大家介绍了关于黑客组织“方程式”的一些基本情况。但“方程式”作为一个高段位的黑客组织,不仅仅在业内享有“盛誉”,在安全领域也曾“红极一时”。因此,本篇文章将对这个曾被称为“最强”的黑客组织进行深扒,并从技术的角度切入,看看“方程式”从幕后到公开的“前世今生”!“方程式”组织的“日常生活”关于方程式组织,外界流传其最负盛名的举措就是涉嫌利用封锁的方式感染目标。这种阻断不仅证实了组织的良好架构与先进能力,还表明组织感染利益相关群体的时间长度。在年休斯敦会议上,疑似通过CD光盘介质利用Windows系统中的autorun.inf机制安装一款名为DoubleFantasy的恶意软件。但对于此事,卡巴斯基拒绝予以证实,除非声明此举出于科学研究目的。因此他们仅对外公开极少信息,所以无法解释恶意内容如何会出现在光盘的确切原因。卡巴斯基实验室全球研究分析团队负责人CostinRaiu认为,将攻击溯源至组织方并给出详情非常简单,但是可能造成后果相当严重的外交事件。他说:“我们能给出的最准确推测是主办方对参会者未有任何恶意举动,但部分CD-ROMs在电子邮件发送至参会方的过程中遭到恶意劫持篡改。”在这一事件发生之后的最初一段时间里,关于一张Windows版本Oracle8i-8.1.7安装光盘的发送事件也很少有人知晓。人们仅知道这张光盘安装了方程式组织早期开发的一款名为EquationLaser的恶意软件。会议及OracleCD光盘是卡巴斯基研究人员迄今为止发现的由方程式组织发起的仅有拦截。从寥寥无几的封锁事件可以看出,他们应该不是经常采取这种做法。继某字符串出现于一次利用蠕虫进行自我复制的零日入侵后,另外一种感染方式应运而生。这种方式建立在卡巴斯基年开发的一款名为Fanny的蠕虫基础上。那时,这个未知的漏洞存在于处理所谓.LNK文件功能中。一旦USB闪存盘与计算机相连,Windows就会用.LNK文件显示图标。这枚具有诱杀功能的闪存盘就会通过在.LNK文件中嵌入的恶意代码自动感染已连接的计算机,且即便关掉计算机的autorun功能也能顺利得逞。自我复制和不依赖网络连接这两项特征使该漏洞成为感染物理隔绝设备的绝佳利器。(.LNK漏洞被划分为CVE--.)下图为:“方程式”利用Fanny发起的.LNK入侵大概在Fanny初露头角的两年后,.LNK入侵被添加到“震网”病毒的某一版本中,这样,蠕虫就可以通过地处伊朗的高度敏感计算机自动繁殖。Fanny同样依赖于一个在零日产生的权限提升漏洞。年,入侵还曾深入“震网”。但那时,微软已通过发布MS09-修补了潜在故障。一个更为常见的感染途径是基于Web的攻击。此类攻击曾入侵了Oracle的Java软件框架或IE浏览器中的漏洞。范围涉及各类网站,从科技产品测评到伊斯兰圣战组织论坛,无所不包。除了通过这种途径植入漏洞,攻击代码还通过广告网络传播。广泛的漏洞携带者可以解释卡巴斯基观测到的大量机器的感染源指向域控制器、数据仓库、网站主机及其他类型服务器的原因。由此看来,方程式组织不仅感染终端用户计算机,其自身也作为被目标终端用户访问的诱杀服务器。方程式组织的入侵以外科手术般高度的精准性著称,可以保证仅有一个特定目标遭到感染。例如,卡巴斯基公布的一份由方程式组织撰写的PHP脚本校验了某网站访客用户名的MD5哈希是否为:84bb3f5e6dcfb29e82e0b0b0f或e6da03b70cfa5ddabdea39与首次哈希对应的明文显示“未注册”,表示攻击者没有试图感染未登陆的访客。二次哈希目前已得到破解,参见破解概要。经过几周艰苦工作,研究人员仍然无法破解此MD5,这间接证明了明文用户名相对复杂。Raiu表示,“毫无疑问,这意味着使用该用户名的访客不会遭到方程式组织感染,事实上,我们对此次入侵甚至一无所知。我猜想,该访客倘若不是采用虚假身份的组织成员,就是他们的合伙人或此前遭受感染的已知受害者。”此PHP脚本还特别留意避免感染约旦、土耳其和埃及的IP地址。根据观测得知,访问这些网站的用户中存在不符合上述规则的情况,但这些用户仍未遭到攻击。这表明,还有一层豁免所有人、专门瞄准最抢手访客目标的筛选。下图为:“方程式”组织利用恶意
PHP脚本注入被黑论坛实例最近,著名安全研究组织卡巴斯基观测到standardsandpraiserepurpose.
根治白癜风盖博士
转载请注明:http://www.guyukameng.com/jsp/8456.html
