Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

Google的信息安全經(jīng)理Heather Adkins就公司在一月發(fā)現(xiàn)的Aurora攻擊事件披露了一些細(xì)節(jié)。這次攻擊以Google和其它大約20家公司為目標(biāo)，是一種高級(jí)的持續(xù)性威脅(以下 簡(jiǎn)稱(chēng)APT)，它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的，目的是長(zhǎng)時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。在2010年事故響應(yīng)和安全團(tuán)隊(duì)(FIRST) 論壇大會(huì)上，Adkins說(shuō)明了Google將如何建立一個(gè)事故響應(yīng)團(tuán)隊(duì)來(lái)實(shí)施調(diào)查，仔細(xì)地分析大量的DNS數(shù)據(jù)，從而追溯和判斷此次攻擊的范圍。

Adkins談到攻擊者實(shí)施的攻擊只有少數(shù)階段是獨(dú)特的。大多數(shù)階段，從實(shí)行社會(huì)工程學(xué)攻擊到利用IE6的零日漏洞，都是很常見(jiàn)的。

Adkins說(shuō)，“要滲入你的網(wǎng)絡(luò)可能不需要特別復(fù)雜的操作。事實(shí)上每個(gè)階段有多難這并不是問(wèn)題，問(wèn)題是所需要技能、可用的工具以及技術(shù)難度。

對(duì)Google的APT行動(dòng)開(kāi)始于刺探工作，特定的Google員工成為攻擊者的目標(biāo)。攻擊者盡可能地收集信息， 搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。接著網(wǎng)絡(luò)罪犯利用一個(gè)動(dòng)態(tài)DNS供應(yīng)商來(lái)建立一個(gè)托管偽造 照片網(wǎng)站的Web服務(wù)器。該Google員工收到來(lái)自信任的人發(fā)來(lái)的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它，就進(jìn)入了惡意站點(diǎn)，很快該雇員的電腦就被下載了惡意軟件。

Adkins說(shuō)，“在整個(gè)網(wǎng)絡(luò)中并沒(méi)有大量的僵尸網(wǎng)絡(luò)，它們?cè)谀繕?biāo)系統(tǒng)中傳播地十分緩慢并且支持它們的基礎(chǔ)設(shè)施規(guī)模十分小”。

Adkins說(shuō)該惡意軟件自身不是特別地復(fù)雜。網(wǎng)絡(luò)罪犯通過(guò)安全隧道與受害人機(jī)器建立了連接并且使用該雇員的憑證 來(lái)訪問(wèn)Google的其它服務(wù)器。攻擊者可以使用各種各樣的方法來(lái)竊取數(shù)據(jù)，如pass-the-hash技術(shù)(一個(gè)設(shè)計(jì)用來(lái)讀取存儲(chǔ)在本地內(nèi)存中的 Windows憑證的工具包)、在遠(yuǎn)程桌面保存密碼或使用keylogger工具記錄受害人的鍵盤(pán)記錄。一旦他們獲取超級(jí)用戶(hù)權(quán)限，網(wǎng)絡(luò)罪犯就可以在服務(wù) 器上安裝后門(mén)來(lái)查看和竊取文件并嘗試偷偷地訪問(wèn)其它系統(tǒng)。

Adkins說(shuō)Google Aurora攻擊事件中使用的這種數(shù)字偽裝技術(shù)很難被發(fā)現(xiàn)。Adkins所說(shuō)的這種安全技術(shù)使安全團(tuán)隊(duì)意識(shí)到了滲透行為，并且開(kāi)始了漫長(zhǎng)的調(diào)查。

Adkins還說(shuō)Google發(fā)現(xiàn)最有用的方法是系統(tǒng)數(shù)字取證、事件日志和惡意軟件分析。當(dāng)Google發(fā)現(xiàn)了網(wǎng)絡(luò)滲透后，安全團(tuán)隊(duì)變得十分敏感，他們仔細(xì)檢查，不放過(guò)每個(gè)簡(jiǎn)單的異常事件。

她說(shuō)，“除非你做了一些篩選工作否則你一般不會(huì)意識(shí)到這是一種APT”。

Adkins談到在分析完惡意軟件的MD5簽名后似乎沒(méi)有人了解它，這表明第一個(gè)線索有問(wèn)題。安全團(tuán)隊(duì)同樣發(fā)現(xiàn)該軟件使用了一個(gè)硬編碼的DNS服務(wù)器。當(dāng)攻擊者實(shí)施偵察時(shí)，他們會(huì)進(jìn)行DNS查詢(xún)，這些數(shù)據(jù)在調(diào)查中是有用的。

她說(shuō)團(tuán)隊(duì)搜索了主機(jī)和該DNS查詢(xún)，復(fù)原出攻擊的情形。焦點(diǎn)集中在一個(gè)特定地方的DNS查詢(xún)，這代表了入侵的行為。大多數(shù)流量主要流向常見(jiàn)的站點(diǎn)。一個(gè)引人警覺(jué)的跡象是偵測(cè)到有訪問(wèn)一個(gè)最近才注冊(cè)(以前沒(méi)有人訪問(wèn))的Web站點(diǎn)的流量。

她說(shuō)，“DNS查詢(xún)?nèi)罩究赡苁悄惆l(fā)現(xiàn)新的惡意軟件產(chǎn)生的唯一方法。對(duì)手需要到其它系統(tǒng)上來(lái)安裝惡意軟件。我們經(jīng)常關(guān)注大的異常事件，但是我們也需要監(jiān)控這些微妙的事件”。

她說(shuō)，Google的調(diào)查以一個(gè)核心的響應(yīng)團(tuán)隊(duì)為中心，引進(jìn)系統(tǒng)專(zhuān)家，分配任務(wù)。團(tuán)隊(duì)使用協(xié)同工具來(lái)加倍地核對(duì)他們的工作，實(shí)施數(shù)據(jù)分析。團(tuán)隊(duì)需要使用他們的公共關(guān)系和法律團(tuán)隊(duì)來(lái)通知其它受攻擊的公司，這增加了調(diào)查的時(shí)間。

Adkins說(shuō)，“事實(shí)上，用于APT響應(yīng)的人員十分緊缺。世界上沒(méi)有足夠的人員來(lái)防范這類(lèi)攻擊”。