提到CIA,就是一個愛搞事的部門,他們全球范圍內的網絡間諜活動消息源源不斷,甚至連智能電視和汽車都要竊聽。不過根據維基解密爆料,CIA雖然擁有龐大的黑客武器庫,卻在中國碰了一鼻子灰。
維基解密披露的CIA秘密文件顯示,專門研究中國網絡的CIA特工在Windows操作系統下安裝測試程序時,總是彈出中文對話框,這給他的間諜活動帶去很大的困擾,試圖把中文轉化成英語吧,但這名間諜的功夫還不到家,只能靠同事翻譯勉強看懂。
“我不懂中文”,最后,他只好在內部文件向上級中反應。你看,中國軟件工程師只不過在源碼中嵌入了中文,就把外國特工耍得團團轉,簡直是給四六級考試報了仇了。
更令CIA尷尬的是,他們制作的電腦病毒也不給力。在CIA機密文件一份名為Grasshopper的項目中,CIA特工們專門提出希望繞過5款流行的殺毒軟件,包括360、卡巴斯基、MSE、瑞星和賽門鐵克,很明顯是把攻擊目標瞄準了中國。
然而從維基解密公布的病毒樣本來看,國內殺毒軟件根本不需要更新升級,就可以直接把CIA特種病毒給查殺攔截。
盡管這次維基解密還有所保留,曝光的大多數文件只是CIA黑客項目的描述和技術文檔,并沒有公開太多黑客工具,有些項目甚至是缺胳膊少腿。但既然事關我國網民的信息安全,360的安全工程師還是對其仔細研究的一番。
經過對維基解密曝光的一個病毒樣本深入分析后,再順藤摸瓜,結合病毒服務器、代碼編寫特點等線索,挖出了更多還沒有被維基解密公開的同源病毒。
結果令人哭笑不得,CIA的病毒樣本在去年2月份就已經出現在全球在線殺毒掃描平臺VirusTotal上,而且,還被360殺毒和安全衛士當場秒殺。
從VirusTotal上可以查到,這個病毒叫QVM10.1Malware.Gen,也就是通過360的人工智能殺毒引擎QVM檢測出來的。
熟悉安全技術的人都知道,人工智能引擎是根據病毒樣本訓練的,只要經過學習能檢測出一個病毒,無論它再怎么變形,都很難再突破QVM的火眼金睛。
被維基解密公開的病毒不給力,CIA制作病毒的技術文檔也頗有些過時。在一個名為“Fine Dining”的病毒項目,CIA使用了“DLL劫持”的攻擊方法,而這已經是中國木馬病毒產業鏈五年前的常用技術。
什么是“DLL劫持”?通俗地說,就是綁架好人做壞事。
軟件的exe程序運行時,會加載dll動態鏈接庫文件。但很多軟件加載dll文件時只認文件名,沒有校驗是不是真的是自己的dll文件。所以CIA的黑客特工們想到一招,用流行軟件的exe程序加載由病毒冒充的dll文件,而這些流行軟件通常會被殺毒廠商加入白名單,從而穿過殺毒軟件的防護陣線。
聽起來是不是很可怕?其實不然,“DLL劫持”的攻擊方法早已被國內的木馬病毒用濫了:在2011年前后,國內流行的網購木馬已經普遍采用了“DLL劫持”技術,也就是把正常軟件的exe和病毒dll組合在一起,俗稱“白+黑”。也就是說,這種攻擊手早已過時了。國內的主動防御類軟件,早就不是簡單的DLL劫持就能攻破的。
中國的網絡犯罪黑產恐怕沒有想到,在他們搜腸刮肚窮盡發明出各種病毒攻擊技術以后,竟無意間加強了國內安全軟件的防御力,也算是為抵擋外敵入侵做出了重要貢獻。
京公網安備 11010502049343號