基于火焰病毒攻击分析对我国信息安全工作思考.docVIP

基于火焰病毒攻击分析对我国信息安全工作思考 　　【 摘 要 】 2012年5月底在中东地区出现的Flame（火焰）病毒，被称为迄今为止最大规模和最为复杂的网络攻击病毒之一，在全世界范围内产生了巨大影响。本文介绍了火焰病毒攻击的方法、分析该病毒的特点，并基于对火焰病毒的分析，提出一些关于我国信息安全工作的思考。 　　【 关键词 】 火焰病毒；数字证书；数字签名 　　【 中图分类号 】 O242； F830.9 【 文献标识码 】 A 　　Based on the Analysis of Flame Virus Attack on China Information Security Considerations 　　Lü Yao 　　（CCID Think tank， China Center of Information Industry Development Beijing 100846） 　　【 Abstract 】 The end of May 2012 in the Middle East appears Flame virus， known as the largest and by far the most complex virus attacks， worldwide had a tremendous impact. This article describes the flame virus attack methods to analyze the characteristics of the virus， and based on the analysis of the virus on the flame to make some work on our information security thinking. 　　【 Keywords 】 flame virus； certificate； digital signature 　　1 引言 　　2012年5月28日，卡巴斯基实验室首先宣布发现了一种高度复杂的恶意程序――Flame。该恶意程序被用作网络武器，已经入侵伊朗、黎巴嫩等中东国家，涉及个人、国家机构及学术和教育体系等范围。该病毒体积十分庞大并且结构极为复杂，被称为有史以来最复杂的病毒，它由一个20MB大小的模块包组成，7个主文件，共包含20个模块，且每个模块有着不同的作用，病毒编制使用了至少5种加密算法、3种压缩算法、5种文件格式。它的主要作用是用于系统入侵和情报收集，一旦计算机系统被感染，病毒就开始一系列的操作，连接病毒的服务器，获取网络流量、截屏、录音、捕获键盘等数据，同时还能加载其它模块，扩大自身的功能特性。火焰病毒被称为迄今为止最大规模和最为复杂的网络攻击病毒之一。 　　2 火焰病毒攻击的方法 　　2.1 实施中间人攻击 　　利用微软WPAD的漏洞，实施中间人攻击，将攻击目标访问的网站重新定位到假冒网站。WPAD（Web Proxy Auto Discovery，Web代理服务器自动发现）的设计目的是让浏览器能自动发现代理服务器，这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。而Windows WINS 服务器存在一个问题，没有对可以在WINS服务器上注册WPAD条目的人员进行正确地验证。默认情况下，如果名称注册已不存在，WINS服务器将允许任何用户在WINS数据库中为 WPAD 创建注册。 　　如果攻击者在WINS数据库中注册WPAD并将其指向他所控制的IP地址，该攻击者便可对任何配置使用WPAD以发现代理服务器设置的浏览器进行人为干预的攻击，即中间人攻击（MITM）。火焰病毒的制造者利用了WPAD漏洞实施中间人攻击，将目标主机Windows Update的目标服务器重新定向为其制定假冒服务器。 　　2.2 劫持通信 　　拦截Windows Update客户端更新，篡改更新升级文件。微软Windows Update客户端更新程序一共包括5个文件，包括是“Wuredir.cab”、“Wuident.cab”、“Wusetup.cab”、“Wsus3setup.cab”、“Wusetup Handler.cab”。火焰病毒制造者对微软发布的文件进行了拦截，并对其4个文件进行了篡改，分别是“Wuident.cab”、“Wusetup.cab”、“Wsus3setup.cab”、“Wusetup Handler.cab”，将其编写的恶意程序和代码注入这4个文件中，并通过中间人攻击，诱使升级Windows的客户端下载被篡改的文件。 　　2.3 申请证书进行签名 　　利用微软终端服务器版权服务（Terminal Server Licensing Service）的漏洞，签发数