大東話安全之「白象」的攻擊

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、讖曰

小白：明槍易躲，暗箭難擋。敵暗我明，如何預防？

大東：漏洞不漏，補丁勤裝，陌生鏈接，不點不慌。

二、病毒通緝令

小白：這隻大象厲害了，這麼多鼻子用來當洗澡的花灑，加上背上的煙囪用來排氣，簡直超智能自控熱水器嘛，超大水量炒雞爽！

大東：好吧，好歹你今天終於不再說吃吃吃了。

小白：嘿嘿，吃夠了也得歇歇嘛。

大東：好好好，歇夠了今天就開講。

小白：講！

大東：這張牌描述的是 HangOver，其命名源於該惡意代碼家族的可執行文件內經常出現的工程調試路徑字元串「HangOver」。該行動在2013年被發現，它使用社會工程策略，主要目的是竊取巴基斯坦、中國、伊朗以及美國等國家的敏感信息。

小白：咦——那跟這熱水器，不，大象有啥關係呀？

大東：想知道就接著往下聽唄~

三、大話始末

小白：東哥，看新聞聯播吶，這幾天印度在西藏很是活躍，這是要搞事情啊！

東哥：搞事情？看來阿三是忘了62年的教訓了。

小白：哎喲，東哥要開講了，來來來，快講快講。

東哥：（抿一口茶）阿三這事由來已久，二戰結束後，作為英國的重要海外殖民地，印度人民運動也是鬧得如火如荼。迫於時代壓力，英國治好放棄殖民統治的權利，但又不想讓印度人好過，就把當時的印度一分為二，一部分是當今的印度，一部分是當今的巴基斯坦，美其名曰：印巴分治。

1940年代的印度

小白：這印度也是可憐，莫名其妙地就少了個巴基斯坦那麼大的地盤。

東哥：誰說不是呢，如果就這麼印巴分治下去，也能保持互不侵犯，平安相處。可是印度的野心太大，要做南亞大陸的老大，獨霸印度洋，還把手伸到了藏南地區。為了維護邊境安全和邊民的生活安定，中國解放軍在62年發兵印度，使勁教訓了一下當時狂妄的印度。

小白：真解氣！

大東：然而帝國主義亡我之心不死，印度一直想著怎麼搞事。

小白：印度能搞起什麼事情啊？

大東：你還真別說，印度知道明的不行就來暗的。現在的戰爭很少像美國打伊拉克那種火箭炮彈一起上的了，本著能用黑客攻擊，絕不浪費炮彈的原則，印度悄咪咪地利用操作系統漏洞對中國發動了數次網路攻擊，直到2013年被網路安全公司諾曼批露出來。同時，國內的網路安全公司安天也對這個組織持續關注。

計算機病毒

小白：網路攻擊行為那麼多，怎麼發現是印度搞的事情呢？

大東：這個啊，是因為這個黑客組織攻擊了挪威的一家公司，於是這家公司就找到挪威的網路安全公司諾曼公司來幫忙解決問題。通過追蹤，諾曼的研究員在被攻擊公司的網路上發現了信息收集軟體——包括一個叫 Handover 的惡意軟體，因此，這個黑客組織被命名為 Handover。2014年8月，安天在網路安全報告中對該攻擊組織中文命名為「白象」。

小白：噢~難怪牌上畫著大象呢~

大東：別小看這個「白象」組織，安天公司的研究人員發現這個「白象」組織曾對中國發起過兩撥高度活躍的攻擊。在第一次攻擊中，「白象」組織了採用魚叉式網路釣魚攻擊這種帶有簡單社會工程學的攻擊方式，第二次「白象」組織的攻擊……

小白：慢慢慢，東哥，慢點慢點，啥是魚叉式網路釣魚攻擊啊？

大東：這個魚叉式網路釣魚攻擊啊，顧名思義就是用漁叉來叉魚。漁叉是專門用來叉魚，而這種網路攻擊方式最明顯的特徵就是有針對性。「白象」組織的魚叉式網路釣魚攻擊對特定的用戶發送特定的郵件，比如，如果你是公司老闆，他就發你競爭對手的內部信息，如果你是公司會計，他就發你財務報表。這些郵件鏈接，你只要一點開，嘿嘿，立馬就中招了。在這一次「白象」組織的網路攻擊中，主要目標都在巴基斯坦，中國的攻擊目標比較少，主要是高等院校。

小白：好可怕啊，簡直防不勝防啊。

可愛的白象

小白：不明覺厲！

大東：簡單地說，「白象」的第二次攻擊是在第一次攻擊的基礎上進行了優化，不僅升級了魚叉式網路釣魚攻擊的手段，還加入了漏洞攻擊，在攻擊手段上更加多樣和完善，所以產生的危害效果也是成倍增加。一方面，「白象」組織依靠網路釣魚攻擊進行定向攻擊，攻擊方式經過偽裝之後，更加讓人防不勝防，小手一點，信息就危險了。另一方面，對系統漏洞的利用也讓「白象」組織的攻擊危害更大，那些更新補丁不及時的電腦就會被輕易被攻陷，信息也就沒有了保護的屏障，直接暴露在了黑客的面前。

小白：這麼厲害，我們豈不是很危險啊？

小白：記住一點，保持警惕性，是最最最關鍵的。

四、小白內心說

小白：東哥，其實我也會釣魚。

大東：什麼你也會釣魚？看來我低估你了啊。

小白：嗯啊，我不僅會釣魚，我還會摸魚。

大東：等一下我好像理解錯了什麼，看來你這個不認真聽講的習慣由來已久了。

小白：東哥我要是不說摸魚是不是你就會覺得我會科技釣魚了？

大東：對啊，因為其實網路釣魚這個東西說容易也容易，因為有的時候你偽裝一下你的郵件什麼的騙一下對方把賬號密碼發給你也不是不可能的。

小白：胡說！！這根本就不是釣魚！！！

大東：哈哈哈，所以看起來對付這樣的郵件你還是有點經驗的啊。

小白：我從來不會亂點開郵件的鏈接，因為我很少用郵箱，等我想起來去登錄的時候郵件裡面那些鏈接差不多都失效了。

大東：萬一碰上一兩個沒失效的怎麼辦？

小白：那就不好說了。

五、話說漫威

小白：這張牌有什麼特殊技能嘛？

大東：話說漫威世界中，有一位毀滅博士，出身虛構的歐洲小國，自身沒有超能力，通過學習和機緣掌握了大量先進科技和魔法知識，屬於地球最有智慧者之列。由於在實驗中毀容，他戴上了一個金屬面具，並開發出不亞於鋼鐵俠的鎧甲。毀滅博士以不惜一切代價追尋宇宙奧秘而聞名，染指過許多宇宙的偉力，多次強到逆天的地步，但最終仍然難免被打敗的結局。

小白：那這和 HangOver 有啥關係？

大東：這就是所謂的邪不勝正，毀滅博士具有同樣命運還有 HangOver，它曾多次使用社會工程策略，竊取巴基斯坦、中國、伊朗以及美國等國家的敏感信息，但該行動在2103年被發現，曝光於世。

毀滅博士

小白：搜嘎~原來是這樣~大東東聯想力滿分~~

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！