Google受攻击技术细节说法不一

　　对于Google可能退出中国声明中提到的此前所受到的攻击，安全技术界给出了各种解释。

　　VeriSign公司的iDefens实验室的安全分析师发布了一份媒体公告，称黑客攻击了主要的源代码库。

　　VeriSign说超过30家技术公司遭到了一系列攻击，这有可能始于七月份的一种类型相近的攻击，这一攻击通过包含恶意PDF文件的电子邮件信息攻击了100个IT公司。金融和防御机构也有可能遭到了攻击。

　　VeriSign iDefense在其公告中称：据熟悉这种攻击的人员透漏，攻击者采取了传播针对Google的恶意代码的方式和使用PDF作为电邮附件的攻击方式;这些文件的特征和去年7月份一次攻击的特征很相似。这两起攻击中，恶意文件都在Windows DLL中安插了一个后门木马。

　　VeriSign说这两起攻击使用了相似的IP地址，并使用了相同的命令和控制结构。这些IP地址都属于Linode(一家美国的虚拟私有服务器主机供应商)所有。

　　VeriSign说：考虑到它们是如此接近，有可能这两种攻击就是同一种攻击。那些遭到硅谷攻击的组织自七月以来就一直处于威胁之中。

　　类似的分析在《MIT 技术评论》的这篇文章中有比较全面的介绍。

　　而McAfee CTO George Kurtz(也是《黑客大曝光》一书的作者之一)则明确不同意这种观点，他在博客中称，Google所受攻击应该源于一种新的此前不大为人所知的IE漏洞。McAfee已经向微软通报了此漏洞，预计不久微软将提供相关建议。他表示，攻击主要针对某些能够访问重要知识产权的特定人员，攻击者向他们发送像是来自一个信任来源的链接或者附件，诱使目标点击，不知不觉中下载和安装恶意软件，为攻击者打开后门，进入所属公司的网络。

　　Kurtz将这种攻击命名为Aurora(极光)。他在文中还说到，安全威胁已经进入了一个新时代，类似的攻击只是冰山之一角。与之前常见的影响广泛的病毒如红色代码不同，这种攻击需要复杂而精巧的社交工程配合，一般目标极为明确，往往指向有利可图或者机密的知识产权。

　　【更新】

　　微软已经在自己的网站发布了一个关于 Kurtz所述IE漏洞的安全建议，其中指出，漏洞是IE中的一个无效指针引用。在一些情况下，这个指针可能在对象删除之后仍然能够访问。在精心设计的攻击中，通过试图访问已被释放的对象，IE可以被用来允许远程代码的执行。

　　微软表示，该漏洞将影响Windows各版本上的IE 6到IE 8浏览器。只有较老的IE 5.01 SP4不受影响。如果怀疑自己的电脑已经受到这一漏洞的影响，可以访问https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-usscrx=1。

　　微软公司已经承诺尽快推出补丁。

　　McAfee的威胁研究副总裁Dmitri Alperovitch表示，这种攻击非常复杂，此前往往针对的是政府和国防部门，应该不是业余者所为。McAfee之所以将这种攻击称为Aurora(极光)，是因为该恶意代码的二进制文件路径名是这个单词。相信这是攻击者自己为这种攻击所起的名字。

　　另据IOActive公司渗透测试总监Dan Kaminsky说，Windows XP及以上版本的DEP(数据执行保护)功能有助于防范此类攻击。另外，虽然Google所受攻击用到的恶意代码只影响IE 6，但这个漏洞仍然可以用来攻击更高版本。不过，Windows Vista和Windows 7采用了ASLR(地址空间布局随机化，address space layout randomization)的保护技术，大大增加了攻击的难度。

原文转自：http://www.ltesting.net