3月 162013
设计破坏伊朗铀浓缩离心机的恶意程序Stuxnet具有一些非同寻常的特征:它只攻击伊朗纳坦兹铀浓缩工厂离心机控制电脑上运行的西门子工控软件,其它地方的电脑即使感染了也不会有任何问题发生。它普遍被认为是美国和以色列网络战部队合作的结晶,是一个典型的国家资助恶意程序。过去几年,安全公司发现了多种疑似国家资助开发的恶意程序,除Stuxnet外,还有Flame、Duqu和Gauss,它们彼此之间被发现存在联系,被认为是同一批开发者开发。其中去年卡巴斯基发现的恶意程序Gauss最值得关注,幕后开发者看上去吸取了Stuxnet被曝光的教训,Gauss包含了难以破解的秘密负载,设计监视中东地区计算机上的敏感银行数据,能盗取黎巴嫩银行中的客户资金,是第一种国家资助的银行木马。
Gauss的多个模块都以知名近代数学家名字命名(如卡巴斯基实验室公布的这张图所示),像高斯、哥德尔和拉格朗日。为了破解其加密负载的密钥,密码破译专家尝试了数百万次,都无功而返。加密负载位于哥德尔模块中,当有U盘和可移除驱动器插入被感染的机器上后,加密负载将会悄悄载入。当U盘和可移除驱动器插到另一台未感染的机器上后,神秘代码开始执行——但它只在Gauss开发者针对的特定机器上执行。而在其它非目标计算机上,它会被严密包裹起来,防止被进行研究或逆向工程。加密负载显然是为了防止外界知道受害者身份或恶意程序的意图。Gauss开发者没有使用先进的加密技术,而是已过时的 RC4 和MD5弱加密算法,可能是因为它们使用最广泛。解锁哥德尔秘密负荷的密钥是基于特定计算机设置动态产生。为阻止破解代码,Gauss MD5哈希目标设置数据1万次,然后输出最终结果解锁加密代码。
