【IT168 资讯】近日,谷歌入侵事件再次成为热点,而此前对此问题,国内知名发布了有关分析报告的安全企业是安天实验室,记者为此采访了分析报告的执笔者之一安天副总工程师、安天CERT负责人李柏松。
记者:请问安天1月26日发布的《多家企业网络入侵事件传言的同源木马样本分析报告》实际就是指谷歌等国际企业被入侵的事件么?为什么报告中所提十分隐晦,没有提及任何企业的名字,是有某种压力么?
李柏松:报告中没有提及具体企业名称有两个原因。首先,传闻中的企业没有一家在公开的官方渠道承认自己受到了入侵。其次,我们进行的是样本同源性分析,只能根据公开资料判定所捕获到的样本与事件宣称的样本来源,但无法前推到每个样本对应的第一场景在哪里。因此我们使用了“多家企业网络入侵事件传言”这一语汇,同时明确分析的是“同源木马样本”。我们觉得这样是谨慎和严肃的。
记者:你们的报告很长,而且其中部分内容不太容易被网民理解,能最简要概括一下攻击者的方法么?
李柏松:基本可以概括为,短时间内集中使用客户端软件0DAY漏洞注入木马,造成内网终端被渗透;使用开源网管工具改造为后门进行进一步活动;使用免费二级域名为一级控制跳板,每一组不同的样本对应一个不同的二级域名作为跳板。
记者:大概有多少组样本?
李柏松:从根据各厂商资料的汇总来看,有不少于24组样本。
记者:你觉得有关攻击者有非常强的0DAY漏洞分析挖掘能力么?
李柏松:目前的情况看,只能说攻击者在第一时间集中的使用了0DAY漏洞,但在地下经济比较发达的现实背景下,0DAY的买卖和交易是比较普遍的。一些合法的安全企业也在收购漏洞,比如类似美国CoreSecurity、Idefense,英国的Qualys等公司都公开的收购漏洞。瑞典的WabiSabiLabi是一个漏洞交易平台。加上各种新闻组、安全研究的IRC等的交流,都会使漏洞的流向呈现出一些不确定性。使用者和挖掘者之间,往往难以追索到必然的关联。
记者:安天的报告似乎没有给出倾向性结论?
李柏松:这篇报告确实完成的比较仓促,但应该说客观的解释了有关攻击和病毒的工作机理,理清了样本之间的关联,给出了用户对应的安全建议。此外,我们还特别更新了主机安全配置建议文献。作为反病毒企业的优势就是可以利用自身的捕获体系和国际交流机制尽快获取样本,之后对其进行全面分析,这就是反病毒工作的原点和发力点。反病毒厂商也很难有超出样本分析以外的方法和资源体系,超出这个范围,就只能是妄加臆断了。
记者:但在震荡波病毒爆发后,安天曾明确认为病毒作者位于德国,而且几天后作者真的在德国被捕了。
李柏松:当时对震荡波病毒的判断正确的原因主要是判定出了震荡波和网络天空病毒的同源性。而而且网络天空病毒流行的时间较长,版本众多,可以追踪的线索也比较多。其作者在德国有一定的佐证。但当前,网络安全的形势更加复杂化,包括木马的代码等资源被广泛买卖交易,大量资源被公开或者有偿的分享,代码的同源性判断对于地缘追踪的价值大大降低。比如这次漏洞采用的后门是AT&T的前开源网管工具项目VNC,但肯定不能说攻击和AT&T存在某种关联。05年和之前的很多有效的样本朔源方法,在当前情况下都不再适用了。
记者:如何看待目前国外报道攻击指向两所国内学校的结论。
李柏松:我目前只是看到了新闻报道,目前也没有相应的、比较负责任的配套分析被公开。从当时我们自己的样本分析来看,我们分析出的域名加上国际上各兄弟厂商分析出的域名中,大部份域名指向已经被服务商屏蔽到本地地址,但尚未被屏蔽少数域名的IP指向分布到了不同的国家,其中包括了美国、荷兰等等。从我们过去分析的大量木马样本来看,采用2级域名进行指向跳转是一种比较典型普遍的攻击方法,而一但入侵完成后,修改域名指向到无关IP,也是屡见不鲜的典型干扰追踪手段。从大量分析也可以看到,很多木马采用的是多级控制机制,如果没有全面的国际协作机制,很难找到其真实的控制原点。
记者:我们注意到安天在赛门铁克误杀微软等引发社会关注的安全事件后,都发了分析报告。这是一种传统么?
李柏松:我们觉得安全厂商有3种责任,即提供合格的产品、良好的服务和客观的信息。这只是履行责任的过程吧。
记者:安天发布分析结论会遇到一些干扰么?比如赛门铁克误杀微软事件,是否国内民意更期望后门是存在的,而微软则是希望澄清的。因为曾经有声音说过,安天当时关于误杀的分析报告有利于微软。
李柏松:每个人、每个团体都会有自己的立场倾向。但技术研究必须尊重客观事实、讲求科学规律。我们需要做的是分析实际的情况,并依据事实做出负责的分析,这是不可以动摇和妥协的。
记者:但我们在本次相关分析报告报告的结论部分中也看到一些很感性的语言,而且似乎对整个网络安全的前景看的悲观。
李柏松:对于未来我们从来都是乐观的,而对用户和网民的关切是网络安全工程师的基本情感。
