多家国际大型企业网络遭入侵 分析师称为IE漏洞引起

根据有关事件传言，多家国际大型企业网络遭受了入侵攻击，对此，相关报道、媒体以及网络传言都有不同说法，从相关消息汇总来看，其中相对有依据的说法来自几家国际安全厂商，包括Symantec、 Mcafee、TrendMacro等，综合根据各厂商已经发布的分析报告和有关报道，较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击（业内主要认为是IE浏览器相关漏洞，这个漏洞已经被命名为极光），并进而被植入了木马。

攻击采用的漏洞分析

根据有关描述，安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE 0day漏洞，并对有关代码采用了javascript加密变形，在常见的堆喷射技术的利用代码部分进行了变换，使得堆喷射代码只有在 javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss[i]/7)手段对堆喷射代码进行变形成为数字数组形式，使静态检测堆喷射代码检测困难。

但需要指出的是，脚本加密方法是当前网页木马的常规技术手段，整体来看这个攻击的代码的加密复杂程度有被夸大的倾向，实际上相关加密并不难于分析还原。下面是部分代码截图：

攻击样本分析

安天实验室在此事件过程中并未与相关企业建立直接的联系，相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名，并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。截至到2010年1月26日，安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系，共筛选出关联样本13个进行细粒度分析（其中两个样本直接来自境外反病毒厂商提供），其中3个为PE可执性程序，10个为PE动态链接库。经关联分析确认，3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为 Rasmon.dll的动态链接库；而有7个样本原始文件名均为Rasmon.dll，经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异，且均可加载acelpvc.dll，而acelpvc.dll又进一步加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。

但由于缺少实际场合验证，且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化，安天无法确定相关样本就是相关事件中的样本，只能说明相关样本存在较大的同源性关系。

结论

在本事件中攻击者主要依托客户端程序的0day漏洞，实现可执行木马注入，并加载远程控制等其他功能模块，其后利用免费2级域名为控制跳板，实施相关行为。

综合相关样本集合分析结果与网络资料汇总分析表明，这是一组有时间跨度的、有覆盖范围的关联型攻击事件。相关事件样本的同源性可以得到确认。但由于当前全球地下经济体系漏洞、恶意代码和地下资源的产业链条的存在，漏洞的POC和exploit代码、恶意代码源码和加工的版本、肉鸡（跳板）、其他可利用空间和代理等，都在被广泛的交易或共享，代码同源性分析只能作为事件存在关联的判据，在没有有关网络行为有效辅证的情况下，难以对攻击的同源性进行确认。

同时根据安天 CERT了解到的情况，各个反病毒公司都捕获到了一定基数的相关样本，而非全部来自现场定向提取，这使相关事件是一组定向型攻击，还是广泛的攻击事件，或者兼而有之，很难做出有效判定。加之有关分析时效性所限较长，场景难于追溯复现，而传言受到入侵的有关公司亦没有公布更多有效信息，这都使进一步分析工作已经缺少进展的空间。