话说最近出现了一种很夸张的木马病毒,通吃Windows、MacOSX和Linux平台上的IE、Chrome等主流浏览器,表现形式是下面这个flash,主要存在于博彩网站、色情网站、外挂私服、中小型下载站。大家不要乱点,flash游戏也没什么好玩的。
中了这个木马后,你的PC不仅会收获流氓软件大礼包,而且一旦将安卓手机连到电脑,安卓手机也会跟着遭殃。
大礼包
更搞笑的一点是这款木马“黑吃黑”,能清除你PC上原先安装的其他流氓软件...肥水不流外人田啊。
在10月中旬开始传播后,木马平均2-3小时更新变种一次,目前已出现数百个变种,总传播量上百万。
(大家当心,不过一般上正常的网站,不随便点左键,也不会有事的。)
为什么这玩意儿这么牛逼呢,这要说回到著名的“网络军火商”“黑客核武库”毫无节操向钱看的意大利黑产团伙Hacking Team。以下简称HT。
时间回到7月初,正所谓变态背后还有更变态的,HT一个成员的电脑被黑了,泄露400G的文件。其中包括大量未知的0day漏洞以及各种攻击工具。
这么说吧,因为这400个G,整个黑色产业链的技术水平提高一个档次,如今的攻击者只要对这些现成的代码做少量的修改便可搞出极其强大的攻击武器。
(大概就是下班路上捡到一麻袋沙漠之鹰,AK47的感觉。)
上面的那个木马,就是利用了其中泄露的flash漏洞。
HT最出名的一个软件叫做“达芬奇”远程监控系统(一般出售给公司和政府机构),可以监视目标的电话、短信、Skype和邮件,由于数据的泄露我们平民得意一窥真容。
这UI用起来还真是亲切呢。
会有可爱的大头贴,能看到你最喜欢上的网站有啥,最近用Facebook,Gmail,Skype又和谁联系了。
甚至能看到人家目前所在的位置,并用经纬度明确标识,还真是贴心呢。
美国联邦调查局(FBI)也是他们的客户。外媒(Wired)报道,从2011年起,美国联邦调查局曾先后支付了773,226.64美元(约合50万英镑)购买HT公司远程控制系统。
根据已泄露的内部文件显示...HT的客户来自于埃及、埃塞俄比亚、摩洛哥、尼日利亚、苏丹????智利、哥伦比亚、厄瓜多尔、洪都拉斯、墨西哥、巴拿马、美国、阿塞拜疆、哈萨克斯坦、马来西亚、蒙古、新加坡、韩国、泰国、乌兹别克斯坦、越南、澳大利亚、塞浦路斯、捷克、德国、匈牙利、意大利、卢森堡、波兰、俄罗斯、西班牙、瑞士、巴林、阿曼、沙特阿拉伯、阿联酋
被泄露的数据里,最大的一部分就是往来邮件,有200G
比如上图中的这笔生意值5.8万欧元,合40万人民币。
(想想一个月买10个,这日子就挺好过了...没志向的差评君语..)
当然也有100万美金的大项目,下面是一张泄露的发票缓存:
想想HT也蛮惨的,除了这400G,连底裤都被黑掉了:自家的Twitter从Hacking Team被修改成了Hacked Team,还贴上了下载链接..
但HT依旧嘴硬,在7月13号发布了一份声明
大意:“我们的核心代码在这次攻击事件中并不曾泄露,数据仍在我们的掌控之中。现如今,我们已经隔离了内部网络系统,外部攻进来是接触不到它的。我们正在试图建设一个全新的内部网络架构,以保证我们的数据安全。”
差评君表示不太相信...邮件合同都暴露了,达芬奇系统的v10最新版本的源代码都暴露了,你说一切尽在掌握之中?
算了,也不扯这说不清道不明的事儿了,换个话题,随差评君来看下,除了他们平常的板书(来自泄露文件)
和最喜欢看的A片(来自泄露文件)
之外,那些传说中的网络核武器是什么...
比如core-android-audiocapture-master.zip这个压缩包里面有这个玩意儿...没错,微信。
他们的测试成功获取了微信,Skype,Whatsapp的音频,并且加密后保存了下来。
core-android-audiocapture-master.zip里是达芬奇的源码:
通过安卓的漏洞,可以获取所有主流社交应用的信息,甚至包括差评君之前提过的号称世界上最安全的即时通信应用Telegram。
ios方面可以破解锁屏密码,截取屏幕,可以替换iOS系统输入法,进行键盘记录。
当然Windows phone,blackberry,甚至塞班系统,也没有幸免于外。
(文章最前面提到的木马利用的Flash 0day漏洞是下面的其中一个: ActionScript ByteArray Buffer Use After Free,或者Nicolas Joly在Pwn2Own 2015大赛中使用的CVE-2015-0349。可以用于WindowsXP~Windows 8.1系统,X86和X64平台)
基本上,这么一路下来,不管你用什么电脑,手机...你都没有任何隐私可言。
最后讲个特别好玩的事儿...
曾有两个亚洲小国跟HT购买了那个远程监控系统,试图监视中国境内的目标。
但他们却惊讶地发现自己的攻击目标连续一个月时间没有“上线”,他们怀疑这玩意儿是不是给杀毒软件清理了。
于是,他们给HT发了个邮件求助:
你好,我之前已经提过关于被杀毒软件检测到的问题了。
我们发现我们在中国的这些攻击目标大部分都安装了一个叫360的杀毒软件。
希望你们能把这个软件列入到你们的反查杀检测中。
