編者按：網絡空間安全近年來日漸成為公衆關注的焦點，中科院之聲特意邀請業内專家“大東”開設“大東話安全”專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網絡病毒，講述54個不同的網絡病毒和網絡安全故事，以及如何進行針對性防禦的建議。

一、谶曰

某戒毒所員工：毒品真的可以控制一個人啊。

東哥：今天我們介紹的 Poison 病毒，可以控制一堆人。

小白：遠離這些奇奇怪怪的東西，珍愛生命!

二、病毒通緝令

小白：這隻從屏幕爬出來的怪物長了兩張嘴，嘴裡還藏着噴毒液的管子，嗯，我估計，這張牌攻擊值要爆表。

大東：這張牌描述的是 Poison，該家族是由後門生成工具 Poison Ivy 生成的後門類木馬程序。它通過注入到其他進程中來隐藏自身，允許未經授權的訪問和控制受害系統。

小白：呃，好像很複雜的樣子。

大東：别急，咱們慢慢說~

三、大話始末

小白：大東，你說這個 Poison 到底是什麼來頭？

大東：說來話長了，那是2011年11月2日，一個月黑風高的夜晚，一位名為 Poison Ivy 的“大盜”橫空出世，他可以潛入任何一台計算機而不被發現，“殺人”于無形，盜于無形，人稱“毒”聖。

這也許就是 Poison ivy 大盜的真身

之後，他隐居山林，培養了無數“弟子”，于是世界上就橫空出世了一個 Poison 的家族，拜古希臘的特洛伊木馬為祖師爺，其弟子都深得 Poison Ivy 的真傳，個個武藝高強，叫人頭疼！

FreeBuf 曝出 Poison 又重出江湖

小白：這麼厲害！那現在還有傳人麼？

大東：你看，他的弟子之一 PoisonTAP 現在還在作亂，而且雇傭費極低。

小白：多少？

大東：“PoisonTap”使用的硬件是僅售價5美元的 Raspberry Pi Zero，代碼則是 Samy Kamkar 公開發布的 Node.js 代碼。

小白：真的好便宜，危害卻這麼大！他是如何做到的？

大東：一旦攻擊者通過 USB 将此黑客工具連接到 Windows 或 Mac 電腦，它就開始加載入侵電腦所需的漏洞利用，即使電腦鎖屏，也能攻破電腦。

小白：電腦鎖屏也可以……

大東：PoisonTap 利用電腦和網絡機制的現有信任産生級聯效應，包括 USB、DHCP、DNS 和 HTTP，從而産生信息滲漏、網絡訪問和安裝半永久式後門的滾雪球效應。

小白：什麼意思啊？小白表示聽不懂，求大佬解釋。

大東：簡單來說，一台主機一旦識别出該工具，就會以某種方式，将這個工具當成自己人，把它變成自己的網絡中的一部分。當受害電腦發送路由請求，主機就會直接轉到該工具，發送給攻擊者Poison。所以整個網段都在 Poison 的控制之中，你發送的所有消息都會被 Poison 過目！

小白：不是吧！！

大東：利用這種欺騙方式，該黑客工具能從受害者的浏覽器盜取100萬網站的通信信息。即使浏覽器在後台運行，PoisonTap 也能攔截請求進行攻擊。

Poison 使用的工具，看起來真的很簡單

小白：驚出一身冷汗！

大東：别急，還有呢！攻擊者還能使用該設備在幾十萬域名上安裝後門，并遠程控制受害者的“大門（路由器）”。PoisonTap 還能繞過 HTTPS 專車的保護和許多其它安全機制，包括同源策略（Same Origin Policy, SOP）、HttpOnly cookie、X-Frame-Options HTTP 響應頭、DNS pinning 和跨源資源共享（Cross-Origin Resource Sharing，CORS）等保镖的保護。一旦攻破了電腦并創建了後門，攻擊者就能控制目标，即使該設備不插電同樣奏效。

小白：那他做過什麼大案子麼？

大東：當然，賽門鐵克大俠表示，至少有48家公司遭到相同的網絡攻擊，這些公司的電腦感染了特洛伊木馬病毒類型的惡意程序 Poison Ivy 之後會被竊取資訊，例如設計文件、制造過程中的細節等。受害者主要位于美國和英國境内，包括29家化學公司，其中有部份業者研發軍車使用的新材料，包括了财富雜志(Fortune)100強、研發化合物與新材料的企業，以及協助生産這些工業基礎設施的業者。顯然，這次網絡攻擊屬于工業間諜活動，目的是搜集知識産權，享有競争優勢。

小白：我的天！那犯罪分子被抓到了麼？

大東：當時賽門鐵克已經追蹤到美國境内的一個電腦系統，而這個系統是一名20多歲男子所有。研究人員根據直譯，為這名男子取了個假名“隐蔽的樹叢(Covert Grove)”，但仍無法确認“隐蔽的樹叢”是唯一的攻擊者，還是扮演直接或間接的角色，也無法确定他是否是代表他人發動網絡攻擊。

多家化學公司的信息被 Poison 竊取

小白：這麼厲害，賽門鐵殼大捕快都抓不到！那我們怎麼預防被攻擊啊？

大東：嚴加防範！換一個強力的“鎖（密鑰）”，最好在家裡請一個保镖，比如360大俠、賽門鐵克大俠、卡巴斯基、金山大俠等，“外出（上網）”的時候盡量不要到不被官方信任的人家裡去，盡量做 HTTPS 專車，這種地方很容易隐藏着 Poison 家族的人。

小白：趕緊回家找大俠去！

四、小白内心說

小白：大東，你還記得哈利波特小說裡的那件隐形鬥篷嗎？

大東：記得呀，哈利的父親留給他的那件。

小白：沒有錯。Poison 像是擁有一件隐形鬥篷，将自己隐身起來。

隐形鬥篷

大東：比喻得不錯。哈利就是憑借這件隐形鬥篷在霍格沃茲學校裡到處遊蕩而不被發現的喲，因此知道了很多秘密呢。

小白：Poison 就用其他程序當自己的隐形鬥篷，将自己隐藏起來，伺機行動。

大東：沒錯沒錯。

小白：擁有了隐形鬥篷的 Poison 豈不是難以被發現？

大東：光隐藏可遠遠不夠，被動的措施隻能勉強将我們從被動的受攻擊情形中解救出來。

小白：可還沒受到病毒攻擊，我們怎麼知道病毒會從哪兒來呢？

大東：這裡我要提出一個病毒攻擊預防的新理念——脆弱性分析，通過對目标系統進行全方位分析和檢測，找到系統中隐藏的容易受攻擊的潛在漏洞點，在安全事件發生之前，就将脆弱點找出并處理。

小白：哇，這樣系統就不用時刻擔驚受怕病毒找上門來了，就算找上來，咱們也早就把大門給關好啦～

大東：脆弱性分析依賴于大量對漏洞挖據分析過程的自我訓練和學習，代替研究員完成重複性工作，能全自動化對目标完成分析，并輸出脆弱性分析報告。小白如果感興趣，可以關注我後續發布的消息～

小白：大東東厲害了！什麼時候也給我的系統檢測檢測吧～

五、話說漫威

大東：你知道隐形女蘇珊·斯通嗎？

小白：我……

大東：隐形女在一次太空任務中被宇宙射線輻射後，身體結構發生改變，獲得了可以隐形和制造防護力場的能力，成為了神奇四俠的成員之一。

小白：哇，隐形技能我也想要！這樣我做什麼都不會被發現了~

大東：以目前的技術，在現實的空間中還不能實現，但是在網絡空間中，它就是 Poison。

小白：通過注入到其他進程中來隐藏自身，允許未經授權的訪問和控制受害系統。厲害的隐形！

大東：不錯，挺有長進啊~

隐形女

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!