新闻快讯
< >

大东话安全之“毒”——Poison

大东话安全之“毒”——Poison

一、谶曰

某毒戒所员工:毒品真的可以控制一个人啊
东哥说:Posion可以控制一堆人。
辉哥说:远离“毒品”,珍爱生命!

二、病毒通缉令

大东话安全之“毒”——Poison-E安全

小白:这只从屏幕爬出来的怪物长了两张嘴,嘴里还藏着喷毒液的管子,嗯,我估计,这张牌攻击值要爆表。
大东:这张牌描述的是Poison,该家族是由后门生成工具Poison Ivy生成的后门类木马程序。它通过注入到其他进程中来隐藏自身,允许未经授权的访问和控制受害系统。
小白:呃,好像很复杂的样子。
大东:别急,咱们慢慢说~


三、大话始末

小白:大东,你说这个Poison到底什么个来头?
大东:说来话长了,那是2011年11月2日,一个月黑风高的夜晚,一位名为Poison Ivy的“大盗”横空出世,他可以潜入任何一台计算机而不被发现,“杀人”于无形,盗于无形,人称“毒”圣。

大东话安全之“毒”——Poison-E安全

    这也许就是Poison ivy大盗的真身

    之后,他隐居山林,培养了无数“弟子”,于是世界上就横空出世了一个Poison的家族,拜古希腊的特洛伊木马为祖师爷,其弟子都深得Poison Ivy的真传,个个武艺高强,叫人头疼!

大东话安全之“毒”——Poison-E安全

    FreeBuf曝出Poison又重出江湖

小白:这么厉害!那现在还有传人么?
大东:你看,他的弟子之一PoisonTAP现在还在作乱,而且雇佣费极低。
小白:多少?
大东:“PoisonTap”使用的硬件是仅售价5美元的Raspberry Pi Zero,代码则是Samy Kamkar公开发布的Node.js代码。
小白:真的好便宜,危害却这么大!他是如何做到的?
大东:一旦攻击者通过USB将此黑客工具连接到Windows或Mac电脑,它就开始加载入侵电脑所需的漏洞利用,即使电脑锁屏,也能攻破电脑。
小白:电脑锁屏也可以……
大东:PoisonTap利用电脑和网络机制的现有信任产生级联效应,包括USB、DHCP、DNS和HTTP,从而产生信息渗漏、网络访问和安装半永久式后门的滚雪球效应。
小白:什么意思啊?小白表示听不懂,求大佬解释。
大东:简单来说,一台主机一旦识别出该工具,它就以某种方式变成它的网络设备,把他当自己人,当受害电脑发送路由请求,就直接转到到该工具,发送给攻击者Poison,所以整个网段都在Poison的控制之中,你发送的所有消息都是被Poison过目!
小白:卧槽!!
大东:利用这种欺骗方式,该黑客工具能从受害者的浏览器盗取100万网站的通信信息。即使浏览器在后台运行,PoisonTap也能拦截请求进行攻击。

大东话安全之“毒”——Poison-E安全

Poison使用的工具,看起来真的很简单

小白:惊出一身冷汗!
大东:别急,还有呢!攻击者还能使用该设备在几十万域名上安装后门,并远程控制受害者的“大门(路由器)”。PoisonTap还能绕过HTTPS专车的保护和许多其它安全机制,包括同源策略(Same Origin Policy, SOP)、HttpOnly cookie、X-Frame-Options HTTP响应头、DNS pinning和跨源资源共享(Cross-Origin Resource Sharing,CORS)等保镖的保护。一旦攻破了电脑并创建了后门,攻击者就能控制目标,即使该设备不插电同样奏效。
小白:真的有这么可怕么!
大东:那你看!
小白:那他做过什么大案子么?
大东:当然,赛门铁克大侠表示,至少有48家公司遭到相同的网络攻击,这些公司的电脑感染了特洛伊木马病毒类型的恶意程序Poison Ivy之后会被窃取资讯,例如设计文件、制造过程中的细节等。受害者主要位于美国和英国境内,包括29家化学公司,其中有部份业者研发军车使用的新材料,包括了财富杂志(Fortune)100强、研发化合物与新材料的企业,以及协助生产这些工业基础设施的业者。显然,这次网络攻击属于工业间谍活动,目的是搜集知识产权,享有竞争优势。
小白:我的天!那犯罪分子被抓到了么?
大东:当时赛门铁克已经追踪到美国境内的一个电脑系统,而这个系统是一名20多岁男子所有。研究人员根据直译,为这名男子取了个假名“隐蔽的树丛(Covert Grove)”,但仍无法确认“隐蔽的树丛”是唯一的攻击者,还是扮演直接或间接的角色,也无法确定他是否是代表他人发动网络攻击。

大东话安全之“毒”——Poison-E安全

多家化学公司的信息被Poison窃取

小白:这么厉害,赛门铁壳大捕快都抓不到!那我们怎么预防被攻击啊?
大东:严加防范!换一个强力的“锁(密钥)”,最好在家里请一个保镖,比如360大侠、赛门铁克大侠、卡巴斯基、金山大侠等,“外出(上网)”的时候尽量不要到不被官方信任的人家里去,尽量做HTTPS专车,这种地方很容易隐藏着Poison家族的人。
小白:赶紧回家找大侠去!

四、小白内心说

小白:大东,你还记得哈利波特小说里的那件隐形斗篷吗?
大东:记得呀,哈利的父亲留给他的那件。
小白:没有错。Poison像是拥有一件隐形斗篷,将自己隐身起来。

大东话安全之“毒”——Poison-E安全

隐形斗篷

大东:比喻的不错。哈利就是凭借这件隐形斗篷在霍格沃兹学校里到处游荡而不被发现的哟,因此知道了很多秘密呢。
小白:Poison就用其他程序当自己的隐形斗篷,将自己隐藏起来,伺机行动。
大东:没错没错。
小白:拥有了隐形斗篷的Poison岂不是难以被发现。
大东:光隐藏可远远不够,被动的措施只能勉强将我们从被动的受攻击情形中解救出来。
小白:可还没受到病毒攻击,我们怎么知道病毒会从哪儿来呢?
大东:这里我要提出一个病毒攻击预防的新理念——脆弱性分析,通过对目标系统进行全方位分析和检测,找到系统中隐藏的容易受攻击的潜在漏洞点,在安全事件发生之前,就将脆弱点找出并处理。
小白:哇,这样系统就不用时刻担惊受怕病毒找上门来了,就算找上来,咱们也早就把大门给关好啦~
大东:脆弱性分析依赖于大量对漏洞挖据分析过程的自我训练和学习,代替研究员完成重复性工作,能全自动化对目标完成分析,并输出脆弱性分析报告。小白如果感兴趣,可以关注我后续发布的消息~
小白:大东东厉害了!什么时候也给我的系统检测检测吧~

五、话说漫威

大东:你知道隐形女苏珊·斯通吗?
小白:我……
大东:隐形女在一次太空任务中被宇宙射线辐射后,身体结构发生改变,获得了可以隐形和制造防护力场的能力,成为了神奇四侠的成员之一。

大东话安全之“毒”——Poison-E安全

隐形女

小白:哇,隐形技能我也想要!这样我做什么都不会被发现了~
大东:以目前的技术,在现实的空间中还不能实现,但是在网络空间中,它就是Poison。
小白:通过注入到其他进程中来隐藏自身,允许未经授权的访问和控制受害系统。厉害的隐形!
大东:不错,挺有长进啊