提到CIA,就是一个爱搞事的部门,他们全球范围内的网络间谍活动消息源源不断,甚至连智能电视和汽车都要窃听。不过根据维基解密爆料,CIA虽然拥有庞大的黑客武器库,却在中国碰了一鼻子灰。
维基解密披露的CIA秘密文件显示,专门研究中国网络的CIA特工在Windows操作系统下安装测试程序时,总是弹出中文对话框,这给他的间谍活动带去很大的困扰,试图把中文转化成英语吧,但这名间谍的功夫还不到家,只能靠同事翻译勉强看懂。
“我不懂中文”,最后,他只好在内部文件向上级中反应。你看,中国软件工程师只不过在源码中嵌入了中文,就把外国特工耍得团团转,简直是给四六级考试报了仇了。
更令CIA尴尬的是,他们制作的电脑病毒也不给力。在CIA机密文件一份名为Grasshopper的项目中,CIA特工们专门提出希望绕过5款流行的杀毒软件,包括360、卡巴斯基、MSE、瑞星和赛门铁克,很明显是把攻击目标瞄准了中国。
然而从维基解密公布的病毒样本来看,国内杀毒软件根本不需要更新升级,就可以直接把CIA特种病毒给查杀拦截。
尽管这次维基解密还有所保留,曝光的大多数文件只是CIA黑客项目的描述和技术文档,并没有公开太多黑客工具,有些项目甚至是缺胳膊少腿。但既然事关我国网民的信息安全,360的安全工程师还是对其仔细研究的一番。
经过对维基解密曝光的一个病毒样本深入分析后,再顺藤摸瓜,结合病毒服务器、代码编写特点等线索,挖出了更多还没有被维基解密公开的同源病毒。
结果令人哭笑不得,CIA的病毒样本在去年2月份就已经出现在全球在线杀毒扫描平台VirusTotal上,而且,还被360杀毒和安全卫士当场秒杀。
从VirusTotal上可以查到,这个病毒叫QVM10.1Malware.Gen,也就是通过360的人工智能杀毒引擎QVM检测出来的。
熟悉安全技术的人都知道,人工智能引擎是根据病毒样本训练的,只要经过学习能检测出一个病毒,无论它再怎么变形,都很难再突破QVM的火眼金睛。
被维基解密公开的病毒不给力,CIA制作病毒的技术文档也颇有些过时。在一个名为“Fine Dining”的病毒项目,CIA使用了“DLL劫持”的攻击方法,而这已经是中国木马病毒产业链五年前的常用技术。
什么是“DLL劫持”?通俗地说,就是绑架好人做坏事。
软件的exe程序运行时,会加载dll动态链接库文件。但很多软件加载dll文件时只认文件名,没有校验是不是真的是自己的dll文件。所以CIA的黑客特工们想到一招,用流行软件的exe程序加载由病毒冒充的dll文件,而这些流行软件通常会被杀毒厂商加入白名单,从而穿过杀毒软件的防护阵线。
听起来是不是很可怕?其实不然,“DLL劫持”的攻击方法早已被国内的木马病毒用滥了:在2011年前后,国内流行的网购木马已经普遍采用了“DLL劫持”技术,也就是把正常软件的exe和病毒dll组合在一起,俗称“白+黑”。也就是说,这种攻击手早已过时了。国内的主动防御类软件,早就不是简单的DLL劫持就能攻破的。
中国的网络犯罪黑产恐怕没有想到,在他们搜肠刮肚穷尽发明出各种病毒攻击技术以后,竟无意间加强了国内安全软件的防御力,也算是为抵挡外敌入侵做出了重要贡献。
