Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

Google的信息安全經(jīng)理Heather Adkins就公司在一月發(fā)現(xiàn)的Aurora攻擊事件披露了一些細(xì)節(jié)。這次攻擊以Google和其它大約20家公司為目標(biāo)，是一種高級的持續(xù)性威脅(以下 簡稱APT)，它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的，目的是長時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。在2010年事故響應(yīng)和安全團(tuán)隊(duì)(FIRST) 論壇大會(huì)上，Adkins說明了Google將如何建立一個(gè)事故響應(yīng)團(tuán)隊(duì)來實(shí)施調(diào)查，仔細(xì)地分析大量的DNS數(shù)據(jù)，從而追溯和判斷此次攻擊的范圍。

Adkins談到攻擊者實(shí)施的攻擊只有少數(shù)階段是獨(dú)特的。大多數(shù)階段，從實(shí)行社會(huì)工程學(xué)攻擊到利用IE6的零日漏洞，都是很常見的。

Adkins說，“要滲入你的網(wǎng)絡(luò)可能不需要特別復(fù)雜的操作。事實(shí)上每個(gè)階段有多難這并不是問題，問題是所需要技能、可用的工具以及技術(shù)難度。

對Google的APT行動(dòng)開始于刺探工作，特定的Google員工成為攻擊者的目標(biāo)。攻擊者盡可能地收集信息， 搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。接著網(wǎng)絡(luò)罪犯利用一個(gè)動(dòng)態(tài)DNS供應(yīng)商來建立一個(gè)托管偽造 照片網(wǎng)站的Web服務(wù)器。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它，就進(jìn)入了惡意站點(diǎn)，很快該雇員的電腦就被下載了惡意軟件。

Adkins說，“在整個(gè)網(wǎng)絡(luò)中并沒有大量的僵尸網(wǎng)絡(luò)，它們在目標(biāo)系統(tǒng)中傳播地十分緩慢并且支持它們的基礎(chǔ)設(shè)施規(guī)模十分小”。

Adkins說該惡意軟件自身不是特別地復(fù)雜。網(wǎng)絡(luò)罪犯通過安全隧道與受害人機(jī)器建立了連接并且使用該雇員的憑證 來訪問Google的其它服務(wù)器。攻擊者可以使用各種各樣的方法來竊取數(shù)據(jù)，如pass-the-hash技術(shù)(一個(gè)設(shè)計(jì)用來讀取存儲在本地內(nèi)存中的 Windows憑證的工具包)、在遠(yuǎn)程桌面保存密碼或使用keylogger工具記錄受害人的鍵盤記錄。一旦他們獲取超級用戶權(quán)限，網(wǎng)絡(luò)罪犯就可以在服務(wù) 器上安裝后門來查看和竊取文件并嘗試偷偷地訪問其它系統(tǒng)。

Adkins說Google Aurora攻擊事件中使用的這種數(shù)字偽裝技術(shù)很難被發(fā)現(xiàn)。Adkins所說的這種安全技術(shù)使安全團(tuán)隊(duì)意識到了滲透行為，并且開始了漫長的調(diào)查。

Adkins還說Google發(fā)現(xiàn)最有用的方法是系統(tǒng)數(shù)字取證、事件日志和惡意軟件分析。當(dāng)Google發(fā)現(xiàn)了網(wǎng)絡(luò)滲透后，安全團(tuán)隊(duì)變得十分敏感，他們仔細(xì)檢查，不放過每個(gè)簡單的異常事件。

她說，“除非你做了一些篩選工作否則你一般不會(huì)意識到這是一種APT”。

Adkins談到在分析完惡意軟件的MD5簽名后似乎沒有人了解它，這表明第一個(gè)線索有問題。安全團(tuán)隊(duì)同樣發(fā)現(xiàn)該軟件使用了一個(gè)硬編碼的DNS服務(wù)器。當(dāng)攻擊者實(shí)施偵察時(shí)，他們會(huì)進(jìn)行DNS查詢，這些數(shù)據(jù)在調(diào)查中是有用的。

她說團(tuán)隊(duì)搜索了主機(jī)和該DNS查詢，復(fù)原出攻擊的情形。焦點(diǎn)集中在一個(gè)特定地方的DNS查詢，這代表了入侵的行為。大多數(shù)流量主要流向常見的站點(diǎn)。一個(gè)引人警覺的跡象是偵測到有訪問一個(gè)最近才注冊(以前沒有人訪問)的Web站點(diǎn)的流量。

她說，“DNS查詢?nèi)罩究赡苁悄惆l(fā)現(xiàn)新的惡意軟件產(chǎn)生的唯一方法。對手需要到其它系統(tǒng)上來安裝惡意軟件。我們經(jīng)常關(guān)注大的異常事件，但是我們也需要監(jiān)控這些微妙的事件”。

她說，Google的調(diào)查以一個(gè)核心的響應(yīng)團(tuán)隊(duì)為中心，引進(jìn)系統(tǒng)專家，分配任務(wù)。團(tuán)隊(duì)使用協(xié)同工具來加倍地核對他們的工作，實(shí)施數(shù)據(jù)分析。團(tuán)隊(duì)需要使用他們的公共關(guān)系和法律團(tuán)隊(duì)來通知其它受攻擊的公司，這增加了調(diào)查的時(shí)間。

Adkins說，“事實(shí)上，用于APT響應(yīng)的人員十分緊缺。世界上沒有足夠的人員來防范這類攻擊”。