新闻快讯
< >

大东话安全之“核”——Duqu2.0

大东话安全之“核”——Duqu2.0

一、开场小剧场

杜牧曰:江东子弟多才俊,卷土重来未可知。
大东说:来一次打一次,看你还敢来,哼~~
辉哥说:哈哈,打得好~~

二、病毒通缉令

大东话安全之“核”——Duqu2.0-E安全

小白:牌上的这玩意儿长得好像《怪兽大学》里独眼怪的亲戚,浑身触角,爱耍杂技,就是水平不高,搞坏几个显示器了都。
大东:这东西恐怕没有独眼怪可爱,它是Duqu2.0。
小白:还是英文名,欺负我读书少哼,大东东还是你来讲讲。
大东:Duqu2.0是2011年Duqu恶意代码的升级版,被用于攻击卡巴斯基实验室的内部系统,旨在窃取该公司知识产权、捕获和分析APT时间的专有技术和数据等。此外,该恶意软件还被用在2014年伊核六方会谈的攻击行动中。
小白:没想到这小东西本事还挺大!
大东:别急,还远不止这些呢。

三、究极进化

小白:Duqu2.0是个什么东东呀,又是个很厉害的病毒吗?
大东:别急,别急嘛,听我给你娓娓道来哈。2015年6月10日,俄罗斯卡巴斯基实验室卡巴斯基应该知道吧。

大东话安全之“核”——Duqu2.0-E安全

卡巴斯基实验室

小白:开玩笑,这个我怎么可能不知道,就是做各种杀病毒软件牛哄哄的那个公司。
大东:bingo!卡巴斯基发布消息承认在今年早些时候的安全检查中,一款新的原型反APT(高级持续性威 胁)系统发现公司内部系统被非常高明的攻击入侵,有多高明?据卡巴斯基称此次攻击的开发成本估计高达5000万美元(哇,5000万呢,还都是美刀,我要是有这么多钱才不要去研究什么病毒呢,真是脑壳上长了个包有木有~~)。

大东话安全之“核”——Duqu2.0-E安全

小白:就是说嘛,要我就去环游世界,世界那么大我想去看看,哈哈哈哈~~
大东:咳咳~~扎心了,我们还是回到正题上。在详细的技术报告与FAQ里,卡巴 斯基称这一攻击的理念与思路比之前的APT(包括2月份发现的Equation)要领先一代,并明确指认幕后黑手就是2011年名噪一时的Duqu背后组 织。因此卡巴斯基将此次攻击命名为Duqu2.0。Duqu2.0是现今为止最为复杂的蠕虫,广泛应用于各种APT攻击事件中。技术分析显示,攻击的目标是卡巴斯基的知识产权(技术、研究和内部流程),而不是其用户数据,也没有盈利企图。
小白:哇,真的是不怕坏人有脑子,就怕有脑子的都去当坏人了,蓝廋o(╥﹏╥)o。那这个这么厉害的病毒是怎么发起他的攻击的呢?
大东:针对卡巴斯基实验室的初始攻击,以我们在亚太区的一个较小规模分支机构的某个员工为目标。Duqu 2.0的初始感染向量目前未知,但是我们怀疑基于电子邮件的鱼叉式钓鱼攻击手段发挥了重要作用。这是因为其中一个“零号病人”(第一批感染源)的邮箱和网络浏览器的记录被清除了,推测其目的是隐藏攻击痕迹。鉴于相关的各台机器都打了完整的安全补丁,我们相信攻击者使用了一个0 day漏洞完成初始攻击。嘿嘿,是不是听着有点晕呀,给你看一张框架性概念图,看看能不能帮助你理解呢~~


大东话安全之“核”——Duqu2.0-E安全

框架性概念图

小白:哎呀,现在的这个世界上病毒多得要死,这个Duqu2.0病毒有没有什么他自己的特点呀?
大东:要说特点嘛,肯定是有的咯。Duqu2.0最大的特点是恶意代码只驻留在被感染机器的内存里,硬盘里不留痕迹,某台机器重启时恶意代码会被短暂清洗,但只要它还会连上内部网络,恶意代码就会从另一台感染机器传过来,进而造成一连串的连锁反应,从而盗取目标系统中的信息。
小白:搜嘎搜嘎~~,盗取信息天呐,那都有哪些可怜受害者的遭受到了攻击?
大东:因吹斯挺(*^▽^*),问的好呀!Duqu 2.0的受害者遍布世界各地,包括西方国家、中东和亚洲地区。攻击作业者出于提高网络能力的目的,不仅攻击了直接针对的最终目标对象,还攻击了对实现其目的有价值的“功利目标对象”。最值得注意的是,在2014年至2015年的时间段内,恶意代码的一部分新感染对象涉及伊核六方会谈,以及伊核六方会谈的一些场所。
小白:如此流B!
大东:Duqu背后的威胁源似乎倾向于对涉及此类高层次会谈的场所发动攻击。除了伊核六方会谈,Duqu 2.0组织还针对奥斯维辛-比克瑙集中营解放70周年的纪念活动发动了类似攻击。 我们将新攻击的其他类型的目标称为“功利目标对象”,攻击者为了提高自己的网络能力而攻击这些公司。例如,2011年,攻击者攻击了匈牙利的一家证书颁发机构;显然,这使得攻击者能够生成数字证书,进一步为恶意软件样本签名。Duqu 2.0也发动了相同模式的攻击,感染了工业控制系统和工业计算机系统行业的若干公司。

大东话安全之“核”——Duqu2.0-E安全

伊核六方会谈

四、小白内心说

小白:连卡巴斯基这么大牛的做杀毒软件的公司都被攻击了,肿么办香菇o(╥﹏╥)o?
大东:淡定,淡定啦,毕竟是大神公司嘛,这么多牛人组成的公司肯定会找到解决的办法嘛,不然怎么还有脸混下去嘛,对不对咯。
小白:卡巴斯基要是真被黑了,那可就太尴尬了!
大东:其实这种情况,也能理解。网络安全的斗争一直都是道高一尺魔高一丈,没有哪一家公司是绝对保险的。
小白:这确实是,毕竟没有永恒的安全,只有相对的安全。
大东:网络安全的技术也是在不断的道魔对抗中提高,许多网络防御的手段都是在磨练中提高。
小白:东哥,你这话里有禅机啊!
大东:哈哈,世间许多道理本来就是相通的嘛,个人的成长也离不开对手的磋磨,对手越强,个人成长才会越快。真实的世界里是没有独孤求败的,只要你一心向上,总能找到对手,总能突破自己。
小白:东哥,果然还是东哥~

大东话安全之“核”——Duqu2.0-E安全

五、话说漫威

大东:话说这个Duqu2.0啊,让我想起了漫威世界中的一个重要角色——灵碟。
小白:那是谁?
大东:灵蝶是英国头号英雄Captain Britain的妹妹,加入X战警后与日本忍者“观音”交换了身体,学习东方忍术,拥有心电感应和隔空取物的本领,在影片中被天启赋予更强大的能量,使出能发出紫色光芒的电能刀,变成了升级版的灵碟。

大东话安全之“核”——Duqu2.0-E安全

灵蝶

小白:究极进化!
大东:升级虽说会让强者更强,但也会让升级后的邪恶者更加肆意妄为,就像Duqu2.0是2011年Duqu恶意代码的升级之后,作恶更加肆意妄为了。
小白:妖精!快让老斯基收了你~~