Google查毒网站VirusTotal：帮了黑客的忙

        英文原文：A Google Site Meant to Protect You Is Helping Hackers Attack You

        像微软和苹果这样的公司，在发布新软件前，代码都会通过复检和测试，以免有任何漏洞。黑客们也会如此做，他们最不愿看到的就是木马破坏受害者的 系统后被发现。更不希望杀毒软件监测到恶意程序。那他们怎么办呢？ 将代码发送给 Google 的 VirusTotal 网站，请他们帮忙做测试。

        Google 帮了黑客的忙

        一直有人怀疑黑客和国际间谍会使用 Google 的杀毒网站测试他们的程序（发起攻击前）。现在，一位安全研究员在跟踪几个知名的黑客团伙后发现，著名的国际团队组织使用 VirusTotal 网站来完善他们的代码，研发间谍程序。这听起来挺讽刺。

        VirusTotal 于 2004 年由 Hispasec Sistemas 在西班牙创立，2012 年被 Google 收购。该网站一直提供免费的网络服务，聚集了 Symantec、卡巴斯基实验室、 F-Secure 等机构研发的数十个杀毒软件。如果有人发现可疑文件，向该网站上传，通过杀毒扫描后就能确认是否为恶意文件。该网站本可以阻止网络恶意程序，但也变向为黑 客提供了可乘之机，为他们的恶意工具做测试。

        几年以来，Dixon 一直在跟踪上传到该网站的代码，通过每一个上传文件的关联数据发现一些黑客或黑客组织，甚至能够发现袭击目标。每个上传的文件会留下用户的元数据痕迹，包 括文件名称，上传时间，上传者 IP 地址的散列值和国籍。虽然 Google 隐藏了 IP 地址，但通过散列值仍能够发现同一个地址的上传文件。奇怪的是，Dixon 监测的几个组织使用的是同一个地址，重复多次提交恶意代码。

        Dixon 通过他发明的算法解析元数据，他曾跟踪到了中国和伊朗知名黑客组织提交的文件数据轨迹。数月后，他监测到了黑客们修改、研发恶意代码的过程，以及躲避的杀 毒软件数目。他甚至能够预测黑客们发起攻击的时间。有时他看到某些黑客测试过的代码再次出现在 VirusTotal 网站上，这是由受害者方发现并提交上来进行检测扫描的。

        跟踪黑客组织

        Comment Crew（注释组）黑客组织被安全研究员们称为“APT1 ”，据称基地在中国，之前还攻击过纽约时报。据报道，自 2006 年以来，注释组还黑过可口可乐以及某些政府机构。最近，该组织把目标转向了美国基础设施，盯上了像 Telvent 这样的公司，该公司控制着美国部分软件系统，包括电网、石油、天然气管道以及水下系统。Dixon 跟踪的组织并不是“注释组”主要部分，而是其分支团队。

        他还跟踪到了 NetTraveler 组织，猜测该组织基地在中国。近十年来，该组织攻击过政府、外交部门、以及军方机构。该组织显然忽略了一个事实：他们的行踪会被跟踪到。不过“注释组”曾通过不同的独立 IP 地址提交代码，这说明他们已经开始警觉了。

        安全研究员们一直怀疑黑客利用 VirusTotal 做恶意代码测试，后来 Dixon 便开始挖掘 VirusTotal 的元数据。现在他不太愿意公开讨论他的元数据工作进程，因为可能打草惊蛇，让黑客们改变策略，跟踪难度就更大了。但他表示，现在 VirusTotal 的存档数据已经足够让其他安全研究员一起来跟踪黑客活动。本周他发布了一组用于分析元数据的代码，便于其他研究员进行跟踪工作。

        Dixon 称：“起初要在数据中发现黑客组织很难，我首次看到这些数据时，不知从何入手，直到我发现黑客后才知道这些来龙去脉。”

        偷看黑客改良恶意代码

        通过元数据，黑客的工作细节被 Dixon 一览无余。在他跟踪观察的三个月期间，“注释组”将他们的恶意程序的每一条代码都修改了一遍，并增删了一些功能。他们添加了其它攻击漏洞代码，但破坏了其 它部分的攻击功能，随后又进行了各种修改测试，整个过程都在 Dixon 的观察之下。

        2012 年 8 月到 10 月观察期间，Dixon 根据“注释组”修改恶意文件代码、重命名文件、移动文件内容、删除代码控制服务器的 URL 链接等一系列活动，摸清了他们的行动流程。黑客还测试出了两款包装工具，用来压缩恶意软件的大小，并对它进行包装隐藏，避开杀毒扫描。但这些方法只部分奏 效。黑客们将能监测出他们代码的服务器减少至 2 到 3 个。只需要杀毒引擎发现不了恶意代码，就无需进行频繁更改。虽然 Dixon 通过杀毒引擎检测到了一些恶意代码，但是隐藏较深的恶意代码只能被人们不常用的杀毒引擎发现。

        即使“注释组”有时对攻击代码进行大幅修改，但有些字符串他们从未改动过，比如用于木马与控制服务器之间交流的字符串，这让 Dixon 得以研发电子签名，侦测和截获目标机器上的恶意活动。他们在某些特殊攻击中的加密钥匙也从未变动过，一直使用着 MD5 散列加密技术中的 Hello@)!0 字符串。多数时候，他们向 VirusTotal 网站提交代码时只启用了 3 个 IP 地址。Dixon 认为这些黑客经验不足，组织内没有严格的监管。

        通过恶意代码发现受害者

        Dixon 经常能跟踪到这些上传到 VirusTotal 网站的文件，并与到受害目标建立连接。有时他能够测算出代码测试结束到发起攻击所花的时间。多数时候“注释组”会在测试结束几小时或几天后发起攻击。比如 2012 年 8 月 20 日，一个漏洞代码在测试结束两天后出现在目标机器上。

        跟踪 NetTraveler 时，Dixon 也采用了相同的方式。2009 年，该组织开始在 VirusTotal 露面，随后测试活动越来越频繁，每年的测试量成倍增加。2009 年他们提交了 33 个文件，去年则达到 391 个，今年已经提交了 386 个文件。更让人震惊的是，他们甚至上传从受害者机器中偷来的文件。Dixon 觉得这非常讽刺，这些黑客可能想测试这些文件，看在己方机器上打开前，是否会被感染。

        Dixon 跟踪的伊朗黑客组织于去年 6 月出现在 VirusTotal 上。一个月后，该组织上传了约 1000 个攻击文件，隐蔽性超强。他们甚至利用存在了两年之久的漏洞，并加以修改来躲避杀毒扫描。此外，Dixon 还发现了疑似 PlugX 黑客组织上传的文件。据称，PlugX 来自中国，于去年开始露面，并在不断壮大。自 2013 年 4 月以来，PlugX 在 VirusTotal 中上传了约 1600 个文件，每次上传都使用了不同的 IP 地址。

        虽然黑客们在 VirusTotal 的活动已被曝光，但毫无疑问，他们会改良技术躲避跟踪，继续使用 VirusTotal。Dixon 认为这并无大碍，因为只要安全公司们保证上传的代码如有攻击可能，在代码传播之前，他们会跟踪这些代码字符串并做出相应的数字签名，做好一系列防御机制工 作。