卡巴斯基:Duqu2.0病毒使用的数字证书窃取自富士康-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

卡巴斯基:Duqu2.0病毒使用的数字证书窃取自富士康

简介:
+关注继续查看

卡巴斯基实验室近日公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,经卡巴斯基实验室研究人员进一步的研究发现,入侵卡巴斯基和入侵伊朗核问题“六方”会谈(P5+1)承办酒店电脑的都是超级计算机病毒Duqu 2.0,而且其所使用的合法数字证书竟然盗自富士康公司。

百科:关于伊朗核问题六方会谈、富士康科技

由美国、俄罗斯、中国、英国、法国和德国参加的“P5+1”(伊朗核问题六方会谈)会谈,一直断断续续进行。自去年以来,“P5+1”会谈分别在日内瓦、洛桑、慕尼黑和维也纳等地举行。

富士康科技是台湾鸿海精密集团在大陆投资兴办的高新科技企业,其客户包括苹果、黑莓、谷歌、华为以及微软等多家全球最大的电子制造商。

卡巴斯基:Duqu2.0病毒使用的数字证书窃取自富士康

Duqu病毒家族简介

攻击卡巴斯基的病毒是Duqu2.0,疑似和2011年发现的Duqu病毒同属一个开发者。Duqu最早出现在2011年9月,是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫。可以说是Stuxnet之子,所以危害程度就不言而喻了。

Stuxnet可能是美国黑客和以色列黑客共同开发的,而Duqu1.0和Duqu2.0可能是以色列独立自主开发的。而这三种病毒使用的数字证书均来自台湾。Stuxnet使用2种数字证书:一个来自瑞昱半导体公司,一个来自智微科技;Duqu1.0的数字证书来自于骅讯电子;Duqu2.0的数字证书来自于富士康。

为什么要窃取数字证书?

数字证书是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,也是电子商务和大规模网上自动化交易的基础。它会在浏览器和电脑操作系统上标记哪些软件是可信的,所以,如果攻击者想在目标电脑上安装恶意软件而不被发现的话,就需要得到合法数字证书的签名。

近年来盗窃数字证书的案例愈发频繁,网络间谍们会利用盗来的数字证书将恶意软件伪装成来自合法电脑的安全软件,然后实施间谍活动。

卡巴斯基:Duqu2.0病毒使用的数字证书窃取自富士康

卡巴斯基系统遭病毒攻击时使用的是富士康的证书,而就在几天前又有人在VirusTotal上上传了一个驱动文件,而这个驱动文件使用的数字证书也是富士康的证书,也就是说Duqu2.0又找到了一个新的目标。

卡巴斯基在周一的总结报告中称,“Duqu攻击者是唯一访问这些证书的人,这进一步印证,他们侵入硬件制造商的目的是为了获取这些数字证书。”关于失窃数字证书事宜,目前卡巴斯基已通知了富士康,但富士康尚未发表任何评论。

为什么攻击者入侵卡巴斯基实验室非要使用来自富士康的数字证书呢?原因很简单,因为卡巴斯基所使用的服务器是64位windows服务器,而在服务器上进行恶意操作必须得有效数字证书签名的驱动,而富士康数字证书在业内很是出名,所以就莫名的躺枪了……

取胜之钥:入侵驱动

驱动是成功入侵卡巴斯基的关键。因为Duqu2.0工具大多存储在卡巴斯基系统的内存里,一旦受害者的系统重新启动了,那恶意软件就会随之消失,磁盘上也不会留下任何的文件。为了解决这一问题,攻击者就需要将驱动放到同一网络下其他的机器上,这样如果一台机器重启了,驱动就会在另一台未被感染的机器上重新启动。

有了0day还有必要使用数字证书吗?

估计所有的人都会发出同样的疑问,Duqu2.0明明就拥有了3个windows 0day漏洞,无需数字证书照样可以成功入侵系统,干嘛还多此一举去盗窃别人的证书呢?研究人员猜想可能是做的第二手准备(Plan B),如果受害者系统上的0day漏洞被修复了,那就可以用第二种方案入侵。戏剧性的是,就是Plan B暴露了他们的行踪。


作者:cindy


来源:51CTO


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9980 0
14 个使用 jQuery 开发的模拟、数字时钟
1. CoolClock in jQuery CoolClock 是一个可定制的 jQuery 模拟时钟,使用 SVG 绘制,提供多种外观选择,同时支持数字时钟。 Read More Demo 2.Analog JQuery clock 在该教程中,通过使用 jQuery 和一个名为 jQueryRotata 插件绘制一个模拟时钟。
820 0
使用SAP Analytics Cloud显示新冠肺炎病毒感染人数的实时信息
使用SAP Analytics Cloud显示新冠肺炎病毒感染人数的实时信息
19 0
使用keytool 生成证书
keytool 简介 keytool 是java 用于管理密钥和证书的工具,官方文档其功能包括: 创建并管理密钥 创建并管理证书 作为CA 为证书授权 导入导出证书 主要格式keytool 采用 keystore 文件来存储密钥及证书,其中可包括私钥、信任证书;keystor...
2844 0
Greenplum 优化CASE - 对齐JOIN字段类型,使用数组代替字符串,降低字符串处理开销,列存降低扫描开销
标签 PostgreSQL , 数组 , 字符串 , 字符串处理 , JOIN , where , 类型一致性 背景 Greenplum通常被用作OLAP,在一些用户使用过程中,可能因为数据结构设计,SQL问题等原因导致性能不佳,虽然通过增加节点可以解决问题,但是如果能优化的话,可以节约不少硬件资源。
1135 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10879 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13752 0
LeetCode 136. 只出现一次的数字-使用JavaScript语言|刷题打卡
LeetCode 136. 只出现一次的数字-使用JavaScript语言|刷题打卡
14 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载