关于APT这个关键字想说的

刘淼转发了一封邮件给我,主题是 《 宦丰收院长电子书》附件是huxiuqin.zip,他问我这封莫名其妙的邮件是不是钓鱼,我检查了一下,压缩包里有两个htm文档和一个word文档,htm文档里用iframe包含了另一个htm文档,http://linkus.amandado.com/santui.htm 而santui.htm里是用document.write(unescape(”))输出加密的网页内容,估计是用来规避GFW审查的,因为内容是关于退党的内容。虽然这次莫名其妙的邮件可能不是“政府资助的攻击”,但这种莫名其妙的邮件正是病毒和恶意邮件传播的主要渠道,人们可能会因为好奇而打开,更多的时候是因为信任人发来的邮件而打开。

我给刘淼的建议是:

不排除是针对你的定向攻击,“电子书”可能是针对你设置的关键字。 建议搜索一下APT这个关键字,apt 高级持续威胁,这是一种长期的攻击,来自政府资助但不是政府亲自执行,国内外活跃人士皆为持续攻击的目标。需要抑制好奇心和保持警惕,即使是你信任的人发来不信任的文件格式也要先拿到 docs.google.com 和 http://www.virustotal.com 上检查一次,即使virustotal没有任何提示也不不要直接打开,因为攻击所用的方法是最新的。安全的办法是用docs.google.com来打开文档。需要强调一下,检测不是安全保障,攻击所用的方法可能是最新的,以至于virustotal内置的所有引擎无法检测出。virustotal就是靠用户提交的最新的样本营利的。

APT,Advanced Persistent Threat,中文意思是“ 高级持续威胁”,这是网络安全界的术语,我最近才从台湾从事资讯安全的吴明蔚博士 (Benson Wu)的口中了解到,

吴明蔚博士
吴明蔚博士

我只见过吴明蔚博士一次,是因为一位香港的朋友参加上个月的台湾黑客大会,帮我把 我长期收集恶意邮件的网站 http://mumayoujian.zuo.la 介绍给黑客大会主办者吴明蔚,他有兴趣,于是我们在咖啡馆聊了两个小时,我才知道我和中国国内外活跃人士长期收到带附件的钓鱼邮件这种现象有一个专有名词:APT。APT是一种雄厚资金支持的长期的面向特定机构或个人的攻击,中国的活跃人士是APT的攻击对象,GOOGLE也曾是APT的攻击对象,GMAL似乎都被成功渗透过,所以GOOGLE退出了中国,还给GMAIL增加了许多安全措施,并且前段时间许多人都报告邮箱上方出现红色背景的警告:

警告:我们认为,由某个国家/地区支持的攻击者可能正在试图盗用您的帐户或攻击您的计算机。立即保护自己免遭攻击 http://support.google.com/mail/bin/answer.py?hl=zh-CN&ctx=mail&answer=2591015

 这个警告并不等同于google确认你的邮箱被入侵成功,只是因为你的邮箱收到了确认是恶意软件的附件,所以给出这样的提示和警告:

您收到的电子邮件很可能包含恶意附件、下载恶意软件的链接或指向旨在窃取您的密码或其他个人信息的伪网站链接。例如,攻击者通常会发送包含恶意内容的 PDF 文件、Office 文档或 RAR 文件。我们强烈建议您不要点击可疑邮件中的链接或附件。

GOOGLE现在在安全方面做得已经很好了,如果GMAIL用户开启两步验证 https://accounts.google.com/b/0/SmsAuthConfig 开启短信验证就能保护你的邮箱不会在异地被登录。如果不信任手机SMS的可靠性,可以安装移动应用,Google提供的Google Auuthenticator移动应用有黑莓手机版,也有iPhone和Android版,有智能手机的GMAIL用户就可以避开使用手机短信来验证GMAIL登录了,这样即使去欧美旅行手机没有开通国外漫游也能通过手机软件获得两步验证的登录验证码了。并且GOOGLE提供可打印的备用验证码,应用场景是:如果您的手机无法使用,那么您就只能使用这些备用验证码登录自己的帐户,记得将它们放在可以随时拿到的地方(如钱包里),这样旅行的时候也可以在新的地点或新的电脑上登录自己的GMAIL了。

关于邮件附件安全,并不是通过了 https://www.virustotal.com 的检测的附件就是安全的,安全漏洞日新月异层出不穷,杀毒软件只能滞后于病毒发展速度,如果没有检测出任何病毒,也可能是附件中用了最新的代码能避开防毒软件的审查。这也是为什么我不推荐朋友们安装杀毒软件的原因,许多朋友安装了杀毒软件就失去了警惕,以为会得到保护就把自己曝露在不安全的环境中或放心大胆的点击莫名其妙的邮件附件。面临来自政府资助的“高级持续威胁”,我估计很多人都会久病成医的。

如果是信任的人发过来的附件,也需要保持警惕,因为信任的人的邮箱地址可以冒用,伪造邮件来源是容易的事。如果确实想看附件,建议上传到 http://docs.google.com 来查看,如果google docs都打不开,那就放弃吧,不要因为好奇而在自己的电脑上打开。

说件有趣的事,我的GMAIL邮件里会收到的恶意邮件,但有时候我转发给别人的时候却会被拒收。这里的原因是:

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the recipient domain. We recommend contacting the other email provider for further information about the cause of this error. The error that the other server returned was: 552 552-5.7.0 Our system detected an illegal attachment on your message. Please
552-5.7.0 visit http://support.google.com/mail/bin/answer.py?answer=6590 to
552 5.7.0 review our attachment guidelines. g56si18424099wel.102 (state 17).

GOOGLE拒收邮件里提供的链接里说:

作为一项预防潜在病毒的安全措施,Gmail 不允许您发送或接收可能包含破坏性可执行代码的可执行文件(例如以 .exe 结尾的文件)。此外,Gmail 不允许您发送或接收已损坏的文件。

也许是不同的邮箱的安全等级话设置不一样,我能收到,转发给别人却会失败。

再说一个有趣的事,virustotal.com ,是一个免费的在线病毒扫描服务,用户可以上传文件上去,然后会得到几十个防病毒引擎的扫描结果。Virustotal靠什么生存呢?原来,VirusTotal提供 Malware Intelligence Services,这是“恶意软件情报服务”,但这个服务不是面向公众的,是收费的服务,也就是收集了用户上传的恶意软件样本卖给防病毒软件公司,下图是登录到 https://secure.vt-mis.com/vtmis/search/ 的截图:

有了用户,赚钱不愁啊。这印证那句话:“以用户为中心,其他一切纷至沓来(Focus on the user and all else will follow)”

另外,关于“国家资助的攻击者”,据我跟安全界人士的了解,包括都不限定于中国,各国黑客都可能会把得到的情报出售给政府,这个产业链很成熟但未曾公开。记录片《维基解密的抗争》(SVT Dokument Inifran WikiRebels) 里就提到那个把美国驻外使馆电报交给维基解密的美军情报分析员布拉德利·曼宁(Bradley E. Manning)就是被拉莫(Adrian Lamo)出卖给美国军方的呢,至于拉莫得到了什么物质奖励和精神奖励我就不得而知了。

4 thoughts on “关于APT这个关键字想说的”

  1. Pingback: 佐拉Ⓥ
  2. Pingback: 佐拉Ⓥ
  3. Pingback: shizhao
  4. Pingback: gnawux

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据