當前位置：首頁 >互聯(lián)網?IT > 安全 > 漏洞/病毒 > 正文

卡巴斯基實驗室被攻陷后的四個未解之謎

來源：云計算：郭雪梅 2015-06-30 13:43:49

前幾天，卡巴斯基實驗室被Duqu 2.0攻陷的消息傳出來后，盡管安全廠商對Duqu 2.0的代碼和對攻擊者采用的0Day攻擊進行了深入分析，目前仍有許多未解之謎。

先不說這事兒是誰干的，所有人的研究都僅限于把攻擊來源確定為以色列，除此之外，還有很多方面我們還不知道：

除了卡巴斯基實驗室以外還有別的被黑的安全公司嗎?

Symantec，F(xiàn)ireEye，Trend Micro都表示沒有受到Duqu 2.0的攻擊，其它的廠商也沒有報告Duqu的信息。但我們了解到Duqu 2.0是在內存中的病毒，電腦一旦重啟就會消失，入侵者可以輕松消除痕跡，所以，很難說誰沒被黑過。

尤金·卡巴斯基說，我們在這件事上花了好幾個月的時間，當初意識到一些奇怪的東西后，就開始展開調查尋求突破口。

卡巴斯基實驗室首席安全研究員庫爾特鮑姆加特納發(fā)布了被入侵的一些指標，并表示受害者肯定遠遠不止卡巴這一家。攻擊的范圍很廣，攻擊的目標很多，可能有100個。就目前所知，Duqu 2.0曾被用于對最復雜、難度等級最高的目標進行攻擊，包括地緣政績利益。

在第一次攻擊卡巴斯基實驗室的時候使用的是哪種0Day攻擊?

卡巴斯基實驗室在Duqu 2.0攻擊中識別出了兩到三種0Day手法，目前正在調查攻擊者利用了哪些漏洞來對最初的受害者下手的，亞太區(qū)的一位員工認為是通過魚叉式釣魚攻擊來進行的。

鮑姆加特納(Baumgartner)表示對方利用的可能是CVE-2014-4148，對方可以通過一個Word文檔接觸到內核。但是目前尚沒有確認具體的第一次攻擊是如何實施的。

賽門鐵克也沒有什么進展。“問題是，我們還不知道Duqu 2.0感染的載體到底是什么!”，賽門鐵克安全響應中心高級經理維克拉姆·塔庫爾說。 “我們還在調查這次事件的具體細節(jié)。”

攻擊者到底做了什么？

尤金卡巴斯基表示，他們還不確定Duqu 2.0的攻擊者到底訪問了公司的那些信息。“我們還不知道他們究竟想找什么”。

塔庫爾表示Duqu 2.0最厲害的地方在于他侵入和掩埋痕跡的能力。“它沒有在你的電腦上留下任何文件，重啟之后什么都沒了”。“這些攻擊者有目的的這么做，這樣他們還可以隨意偷取他想要的東西，一關機，啥都沒了。”

塔庫爾表示他們的團隊還在分析惡意軟件的模塊，他們也還不知道到底攻擊者是如何秘密盜取數據(exfiltrated)的。

也有安全專家表示，主要還是因為他們不知道到底那些信息被竊取了，所以他們無法準確的找到到底哪些數據和系統(tǒng)被接觸過。

Bay Dynamics的首席營銷官Gautam Aggarwal認為，這些攻擊者的目的是在搜尋卡巴斯基Secure OS和Anti-APT產品的漏洞。Duqu 2.0攻擊是一個內存(in-memory)攻擊，他不會增刪改任何硬盤上的文件或者系統(tǒng)設置，這才讓卡巴斯基的調查舉步維艱。如果他們一旦找到卡巴斯基產品的一些漏洞，入侵使用他們產品和解決方案的客戶就是輕而易舉的事兒了。

卡巴斯基實驗室調查過2011年那次Duqu木馬攻擊，這次攻擊非常有針對性，他說。這讓人感覺APT攻擊小組是把卡巴斯基實驗室作為Duqu 2.0攻擊的一個支點，它可以破壞其內部的防御，然后達到某種目的。

直覺告訴我們，卡巴斯基這事兒只是個開始，陸續(xù)我們還會看到更多這樣的事兒。

神秘模塊里的ICS/SCADA線索有什么含義?

卡巴斯基實驗室全球研究和分析團隊總監(jiān)Costin Raiu發(fā)布了一條推特，發(fā)圖片截屏了Duqu 2.0模塊的一個文件名，說：“有誰認識Duqu2 模塊訪問的這些文件名和路徑嗎?來說說”

研究人員在研究這些樣本的時候在文件名中發(fā)現(xiàn)了“HMI”一詞，指向ICS / SCADA系統(tǒng)的鏈接。HMI(human-machine interface)指的是工業(yè)產品領域的人機界面。

編輯：閆春春

關鍵字：卡巴斯基實驗室安全