基於火焰病毒攻擊分析對我國信息安全工作的思考
理論探討
作者:呂堯
【 摘 要 】 2012年5月底在中東地區出現的Flame(火焰)病毒,被稱為迄今為止最大規模和最為複雜的網絡攻擊病毒之一,在全世界範圍內產生了巨大影響。本文介紹了火焰病毒攻擊的方法、分析該病毒的特點,並基於對火焰病毒的分析,提出一些關於我國信息安全工作的思考。
【 關鍵詞 】 火焰病毒;數字證書;數字簽名
【 中圖分類號 】 O242; F830.9 【 文獻標識碼 】 A
Based on the Analysis of Flame Virus Attack on China Information Security Considerations
Lü Yao
(CCID Think tank, China Center of Information Industry Development Beijing 100846)
【 Abstract 】 The end of May 2012 in the Middle East appears Flame virus, known as the largest and by far the most complex virus attacks, worldwide had a tremendous impact. This article describes the flame virus attack methods to analyze the characteristics of the virus, and based on the analysis of the virus on the flame to make some work on our information security thinking.
【 Keywords 】 flame virus; certificate; digital signature
1 引言
2012年5月28日,卡巴斯基實驗室首先宣布發現了一種高度複雜的惡意程序——Flame。該惡意程序被用作網絡武器,已經入侵伊朗、黎巴嫩等中東國家,涉及個人、國家機構及學術和教育體係等範圍。該病毒體積十分龐大並且結構極為複雜,被稱為有史以來最複雜的病毒,它由一個20MB大小的模塊包組成,7個主文件,共包含20個模塊,且每個模塊有著不同的作用,病毒編製使用了至少5種加密算法、3種壓縮算法、5種文件格式。它的主要作用是用於係統入侵和情報收集,一旦計算機係統被感染,病毒就開始一係列的操作,連接病毒的服務器,獲取網絡流量、截屏、錄音、捕獲鍵盤等數據,同時還能加載其它模塊,擴大自身的功能特性。火焰病毒被稱為迄今為止最大規模和最為複雜的網絡攻擊病毒之一。
2 火焰病毒攻擊的方法
2.1 實施中間人攻擊
利用微軟WPAD的漏洞,實施中間人攻擊,將攻擊目標訪問的網站重新定位到假冒網站。WPAD(Web Proxy Auto Discovery,Web代理服務器自動發現)的設計目的是讓瀏覽器能自動發現代理服務器,這樣用戶可以輕鬆訪問互聯網而且無需知道哪台計算機是代理服務器。而Windows WINS 服務器存在一個問題,沒有對可以在WINS服務器上注冊WPAD條目的人員進行正確地驗證。默認情況下,如果名稱注冊已不存在,WINS服務器將允許任何用戶在WINS數據庫中為 WPAD 創建注冊。
如果攻擊者在WINS數據庫中注冊WPAD並將其指向他所控製的IP地址,該攻擊者便可對任何配置使用WPAD以發現代理服務器設置的瀏覽器進行人為幹預的攻擊,即中間人攻擊(MITM)。火焰病毒的製造者利用了WPAD漏洞實施中間人攻擊,將目標主機Windows Update的目標服務器重新定向為其製定假冒服務器。
2.2 劫持通信
攔截Windows Update客戶端更新,篡改更新升級文件。微軟Windows Update客戶端更新程序一共包括5個文件,包括是“Wuredir.cab”、“Wuident.cab”、“Wusetup.cab”、“Wsus3setup.cab”、“Wusetup Handler.cab”。火焰病毒製造者對微軟發布的文件進行了攔截,並對其4個文件進行了篡改,分別是“Wuident.cab”、“Wusetup.cab”、“Wsus3setup.cab”、“Wusetup Handler.cab”,將其編寫的惡意程序和代碼注入這4個文件中,並通過中間人攻擊,誘使升級Windows的客戶端下載被篡改的文件。
2.3 申請證書進行簽名
利用微軟終端服務器版權服務(Terminal Server Licensing Service)的漏洞,簽發數字證書,對篡改的Windows Update客戶端更新程序進行簽名,偽裝成微軟發布的程序。微軟為了方便企業內部使用基於PKI的應用,提供了一種稱為終端服務器版權服務的應用,其目的是僅供許可服務器驗證的數字證書。這種服務也能夠用來簽署代碼以標識該代碼是微軟簽署的,而且當企業用戶要求一個終端服務激活許可證時,微軟簽發的證書在不需要訪問微軟內部PKI基礎設施的情況下進行代碼簽名,同時這種服務也支持使用舊的加密算法進行簽署代碼,並使被簽署的代碼看起來是來自微軟的。
火焰病毒製造者利用終端服務器版權服務這些特性,使用與“Microsoft Enforced Licensing Intermediate PCA證書”、“Microsoft Enforced Licensing Registration Authority CA證書”有信任關聯關係的“Microsoft LSRA PA證書”對火焰病毒進行了簽名,並使其成功偽裝成微軟發布的更新程序。火焰病毒製造者利用終端服務器授權係統的注冊過程來獲取鏈接到微軟根證書頒發機構的證書,以及對病毒進行簽名的整個過程不需要訪問微軟的PKI。