Hacking Team是一家专注于开发网络监听软件的合法公司,号称“网络军火商”,以向各国政府有偿提供监听和远程控制的黑客工具而闻名。7月6日开始,Hacking Team内部资料约400G遭到其他黑客攻击而泄漏,继而被公布到互联网上。由于资料内容巨大,并且包含很多本是秘密的黑客攻击手段,因而在业界引起了极大的震动。
腾讯反病毒实验室、金山猎豹等多家安全厂家前后加入跟进,陆续挖掘出多个对用户造成严重安全问题的漏洞。鉴于此次事件的严峻性和复杂性,腾讯反病毒实验室山调动多项资源(如腾讯哈勃分析平台、腾讯全景式监控系统等),实时追踪漏洞,拦截并进行修复。
Hacking Team 危害描述
Hacking Team泄漏了多个0day漏洞,包括3个flash player(CVE-2015-5119、CVE-2015-5122、CVE-2015-5123),1个IE11,以及2个内核的漏洞。其中有些漏洞包含了完整的利用代码,这些利用代码写得非常规范,而且稳定性好,通杀性强。普通黑客只要稍加修改就可以直接使用,在受害者电脑上偷偷植入病毒木马。
由于危害性非常大,各家都如临大敌:Google建议用户手动禁用flash插件来避免遭到攻击;Firefox则更加彻底,在其新版本中直接屏蔽了flash插件。在漏洞曝光后不久,厂商也紧急发布了针对漏洞的修复补丁,但是仍然有成千上万没有安装补丁的电脑直接面临黑客的攻击。据国外知名安全企业fireeye称,其中的一个flash漏洞CVE-2015-5122已经用于针对日本的攻击。
管家应对措施——拦截、修复、技术解析
随着Hacking Team泄漏资料的公布,有越来越多的漏洞被挖出曝光,用户电脑的安全面临极大的威胁。有鉴于此,腾讯电脑管家反病毒实验室在综合自主研发的哈勃分析平台和全景式监控系统基础上,针对Hacking Team的攻击系统做出多份分析报告和努力,助力业界理清Hacking Team台前幕后的那些事。
(一)深入分析,分享Hacking Team解读的技术成果
重要事件:7月9日,腾讯反病毒实验室发布Windows平台上的“Soldier监视代码”的分析报告。
报告概述:Soldier是悄悄运行在用户电脑上的后门木马程序,用于非法监听用户的上网信息和本地信息,可以获取的内容包括:facebook、twitter等社交网站的消息、联系人等用户信息;位置信息;剪贴板内容;IE、Chrome、Firefox等浏览器中的密码;屏幕截图;摄像头视频等。
重要事件:7月19日,腾讯反病毒实验室发布“攻击向量之Bios Rootkit”的分析报告。
报告概述:攻击向量(attack vector)指的是黑客用来攻击计算机或者网络服务器的一种手段,攻击向量能够帮助黑客寻找系统可能存在的任何漏洞,包括人为因素,攻击向量简单理解就是网络渗透攻击的各种维度,如通过病毒,电子邮件,网页,聊天室等配合社工欺骗方法来完成。
从泄露代码来看,hacking team有自己完善一套攻击向量,有许多维度,如Bios Rootkit攻击,ipa攻击,java applet挂马,假文档图标欺骗,短信欺骗,光盘或U盘存储介质攻击,技术与非技术完美配合,来实现RCS远程控制功能。
(二)电脑管家第一时间拦截病毒、修复漏洞
重要事件:7月7日资料中关于Adobe的漏洞(CVE-2015-5119),电脑管家第一时间下发病毒库,可阻止攻击样本。Adobe于7月8日发布第一份Flash漏洞补丁。
7月9日腾讯反病毒实验室的哈勃分析平台支持对Flash漏洞样本的检测,电脑管家发布新版本,拦截变种样本利用Flash漏洞进行的攻击。
7月11日资料中被挖出第二批Flash漏洞(CVE-2015-5122、CVE-2015-5123)。电脑管家第一时间下发病毒库,可阻止攻击样本。7月14日Adobe发布第二批Flash漏洞补丁。
重要事件:7月7日,关于Windows的字体漏洞(MS15-077)被挖出。7月14日微软发布资料中针对Windows操作系统的漏洞补丁。电脑管家第一时间下发病毒库,可阻止攻击样本。
7月14日资料中被挖出第二份Windows字体漏洞(MS15-078)。7月17日电脑管家发布新版本,拦截样本利用Windows字体漏洞进行的攻击。7月20日微软发布资料中第二份字体漏洞的紧急补丁。