文章
Slash Boxes
评论

Google黑客攻击事件更多细节

matrix 发表于 2010年2月07日 14时12分 星期日   Printer-friendly   Email story
来自身份仍然未知部门
Google IT
《连线》网站引用一家计算机安全和鉴识公司Mandiant的Google黑客攻击事件报告,称此次攻击规模超出所有人的想象,有数千家公司的安全面临威胁。 Mandiant在上周举行的一个闭门网络犯罪会议中公布了他们的报告,报告得到了五角大楼的赞助,过去几年该公司参与调查了多起重大的网络攻击事件。他们认为新的攻击方式可称为“Advanced Persistent Threats(APT)”。 APT类似定时炸弹,一个看起来清白的软件可以在任何时候激活,它能长时间处于休眠状态,避开检测。在最近的事件中,IE6的一个0day漏洞就是入口。APT攻击是有针对性的——偷取敏感数据,如电子邮件、Word文档、Powerpoint幻灯片、电子表格等等。它通过交叉钓鱼方式锁定高级别成员的账户密码,以更便于获得重要数据。当获得数据后,它使用了聪明而狡猾的方法发送回数据,在APT攻击中,收集到的数据进行了压缩,然后缓慢的从内网发送到外网,它使用虚假的报文头和定制的协议通过隐蔽的端口(SSL)传输出去。"

«  石墨烯晶体管比硅晶体管快10倍 | UCLA教授被禁止发布课程录像  »

相关文章

互联网: 赛门铁克认定绍兴为世界黑客中心 [+]
captmjc 写道 "据《参考消息》转引《泰晤士报》3月28日报道及《南华早报》3月26日报道:中国东部城市绍兴被赛门铁克认定为世界网络间谍活动中心。 赛门铁克正在协助调查谷歌遭到的一些可疑的黑客攻击。网络间谍活动通过发送邮件,诱骗用户允许恶性代码感染他们的电脑。研究人员发现,源自中国的有目标网络袭击比之前发现的还要多。之前,中国大陆的黑客总是能够把自己隐藏在台湾的服务器中。但此次,赛门铁克成功追查出个人电脑IP地址,以此寻找袭击的真正源头。 研究结果表明,全世界有针对性的网络攻击中有28.2%源自中国。紧随其后的是罗马尼亚,占21.1%,据推测其大多数袭击以商业诈骗为目的。美国位列第三,随后是台湾和英国,各占12%。中国浙江省绍兴市是本月从该公司处理过的超过120亿次电子邮件连接中监视到的所有网络袭击的最大来源地。在赛门铁克公司研究机构MessageLabs Intelligence上月确定为有目标的网络袭击主要来源地的10个城市中,绍兴占21.3%的份额,北京和广州分别占8.8%和4%。"
安全专家称他们接近揭露攻击Google的黑客身份 5 条评论 [+]
计算机安全和鉴识公司HBGary于2月10日公布了Operation Aurora(PDF)报告(国内也有安全公司公布了木马分析报告),该公司CEO Greg Hoglund称他们正接近识别出用于攻击Google的恶意程序作者的身份 HBGary已经识别出了Aurora木马的注册表项、IP地址、可疑的运行时行为,和其它数据。HBGary称Aurora的代码含有中文背景,CRC算法(原文)可追踪到中文论文,而域名注册信息则曝光了一位名叫Peng Yong的参与者。该木马至少是从2006年起开始开发,之后有几次更新。HBGary和其它鉴识公司还没有直接证据证明此次攻击有政府背景。 HBGary还发布了一个清除工具,用于清除电脑上的Aurora木马。
Google黑客攻击事件更多细节 | 登录/创建一个账号 | 顶部 | 8 条评论 | 搜索讨论
显示选项 门槛:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。

  • 补充一下细节

    (得分:2, 识见广博)
    antianit (1494) 发表于 2010年2月07日 16时52分 星期日 (#60256)
    特别针对与中国有业务的公司
    One mark of APT attacks is that they have especially hit companies with dealings in China, including more than 50 law firms.

    暴力破解密码
    They do this by grabbing employee password hashes from network domain controllers — and either brute-force decrypt them or use a pass-the-hash tool that tricks the system into giving them access with the encrypted hash

    非常隐蔽的收集和传输邮件和文档
    Stolen e-mail messages and documents are collected and stored on a staging server inside the company’s network before being encrypted with custom algorithms and compressed into an .rar file. The files are then siphoned out in small random bursts generally via normal protocols with spoofed headers to disguise the activity. In the case of the Google hack, the attackers used an SSL port but a custom protocol.

    APT attackers have used sniffers to grab headers from a company’s authenticated proxy communications to dynamically create their own credentials to mimic the communication. They’ve also spoofed Yahoo and AOL SSL certificates and hijacked a victim’s chat program to conduct communication between malware and command servers.

    In a process injection, they introduce malicious code into a trusted process already running on a system to conceal malicious activity. Stub malware is code with only minimal functionality — to keep its footprint small. The attackers then remotely add new capabilities to it, which run in the network’s virtual memory.

    [ 回复本条 ]

  • n.a.

    (得分:1)
    bladerunner (497) 发表于 2010年2月07日 18时36分 星期日 (#60258)
    ( 最新日志: 2010年3月26日 14时19分 星期五 )
    computer security and forensic firm计不能译作“计算机安全和法医学公司”,可以叫比如计算机安全和鉴识公司。
    [ 回复本条 ]

  • 中国网军太威武了

    (得分:1)
    FatCatHu (118) 发表于 2010年2月08日 03时01分 星期一 (#60290)
    ( http://www.small-island.org/ )
    没想到还真有真抓实干勇超尖端的……
    --
    Hooray ! Transforming into a troll again ......
    [ 回复本条 ]

  • 情报工作是我党我军的成功法宝

    (得分:1)
    Unkown (5818) 发表于 2010年2月09日 22时40分 星期二 (#60438)
    参见“潜伏”等
    --
    我读书少,你不要骗我!
    [ 回复本条 ]