6年來，里阿姆?奧?莫楚（Liam O’Murchu）一直以分析各種蠕蟲和病毒為業，但從沒有見過這樣的代碼。它運用的技術遠遠超越了他所見過的其他病毒。所以，當他坐在南加州辦公室的計算機前，打開歐洲同事連夜發來的震網病毒時，壓根沒想到，居然會碰到這樣一個“神獸”。 那是個周五，2010年7月16日，震網新聞在科技業界發布的第二天。當時莫楚像往常一樣，正有一搭無一搭的瀏覽著病毒代碼。這位33歲的愛爾蘭人是賽門鐵克公司卡爾弗城辦公室應急響應團隊的運營負責人，他的任務是檢視[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")，并決定是否有必要對它們進行更深入的研究。 公司在愛爾蘭都柏林的同事已經在前一天下午拿到了病毒文件，幾小時后，文件就送到了早上剛剛起床的莫楚這里。賽門鐵克公司的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")分析團隊遍布各個大洲，這樣不管什么時候，只要有重要事件發生，都會有人處于值班狀態、迅速跟蹤事態發展。一個分部下班的同時，就有另一個分部上班，前一個分部的員工把工作文檔交給后一個分部的員工，就像傳遞接力棒一樣。 當然，并非所有病毒都有這種“追著日出跑”的待遇。每個月賽門鐵克及其他安全公司都會發現大約100萬種惡意文件，絕大多數都是技術模仿者利用已知工具改寫、希望通過改變特征指紋的方式騙過反病毒掃描引擎。對于這些“標準化”病毒，可以通過導入特定算法對其代碼進行分析，尋找與已知病毒相匹配的特征和行為方式。只有當算法搞不定的時候，才會把代碼導出到研究人員這里，進行人工分析。如果一個惡意程序利用或可能利用了“零日漏洞”進行攻擊，肯定是由人而非算法來進行檢測的。這也是震網的文件會到莫楚手上的原因。 [](http://www.aqniu.com/wp-content/uploads/2015/09/640.webp-61.jpg) 里阿姆?奧?莫楚Liam O’Murchu 莫楚是個充滿激情的滑板青年，說話富有感染力，留一頭棕色短發，前額上還做了一個醒目的“直立燙”造型。他2004年起在賽門鐵克公司上班，不過從都柏林來到美國時間不長，至今才在賽門鐵克加州公司工作兩年。他領導著一個技術出眾的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")分析和逆向工程團隊，連年征戰在處理數字威脅事件一線，每個人都身經百戰。但任何人都沒有預料到，莫楚會從震網當中“挖出核彈”。 震網的主文件大得不可思議——500k字節，而常見惡意代碼文件大小僅為10k到15k之間。即便是臭名昭著的Conficker，這個兩年前（2008年）感染了600萬臺計算機的“怪物級”病毒，其大小也不過35k。大于這個量級的惡意文件，通常會包含一塊非代碼區域，一般是用圖片文件填充來使其占用更大空間。但震網中并沒有圖片文件，也沒有無關填充物。而且，當莫楚開始將文件一步步打開時，他意識到，震網的代碼比他和其他人所見過的任何惡意代碼都要復雜。 莫楚與惡意代碼的第一次親密接觸是在1996年，那時他在都柏林大學學習計算機科學專業，然后有個奇葩同學自己制作了一款病毒，把學校機房里所有的計算機都感染了。在3月15日，病毒獲得了所有終端的控制權，大家都沒法上機了。用戶必須先答對屏幕上出現的10道問題，才能登錄。大多數同學都被搞煩了，但莫楚一心想著能得到一份病毒文件的拷貝，然后把它拆開來看看。他的個性是“見啥拆啥”。莫楚從小在吉爾戴爾郡阿賽鎮外的鄉村長大，跟別家孩子喜歡玩汽車不同的是，他最喜歡把汽車拆成零件，看它是怎么工作的。 年輕時，莫楚并沒有打算成為一個專門擺弄病毒的。他一開始上大學的時候為拿到一個自然科學的學位，勤勤懇懇的苦學各種物理和化學課程，后來才轉向計算機科學課程并為之著迷。他快速拋棄了化學實驗室，開始沉浸在計算機房里。在大學中，黑客攻擊逐漸成為眾人關注的話題，但莫楚從未想過信息安全會成為一種職業發展的可能路徑，直到有一天，攻擊者黑掉了機房的服務器，然后一大幫同學來幫忙打補丁、清除病毒修復機器。莫楚被這場“貓鼠大戰”深深吸引著，他目睹了入侵者一次又一次地使用計謀，把防守一方戲弄到團團轉。 這種翻越數字障礙的本事，在莫楚和朋友們大學畢業到美國后派上了用場。他們得到一份為一家圣迭戈創業公司測試付費閱讀網站（kiosk）的工作。他們的任務是看能不能繞過網站的“付費門檻”，越權打開本應花錢才能瀏覽的網頁。這公司沒有找普通的計算機用戶來測試，而是故意找了他們這么一個黑客團隊。包括6個付費閱讀點的系統搭建完畢后，莫楚團隊的工作開始了。公司打算給他們兩個星期的測試時間，然后就把系統上線。但莫楚和他的朋友們一直能找到繞開“付費門檻”的新辦法。2個月過去，他們還在不斷發現新的破解方法，這家公司實在受不了了，終止了測試，讓系統就這樣上線了。 接下來的幾年里，莫楚帶著他心愛的滑板，滿世界旅行，心中對進入信息安全行業懷著一種模糊的情愫，卻又沒有明確的計劃。2002年，他加入了都柏林的一家名為“光明郵件”的反垃圾郵件公司。他當時想法很簡單，掙點錢，供養自己游玩的開銷。而當2004年賽門鐵克公司收購光明郵件時，莫楚看到了進入信息安全行業的真正機會。在作為被收購公司雇員參觀賽門鐵克都柏林公司辦公室的過程中，他耐著性子跟人們一個部門一個部門地轉悠，實際上他只想去看那令他心馳神往的病毒研究團隊。但是，當見到了研究團隊老大美國人埃里克?錢（Eric Chien，下稱“錢哥”）的時候，他的夢碎了一地。莫楚原以為公司在世界各地會有幾百個病毒分析師的崗位，所以進來會比較容易。但錢哥告訴莫楚，他的團隊只有五、六個人，每個人都已經干了很多年，而且“沒人想離開，他們都很熱愛這份工作。” [](http://www.aqniu.com/wp-content/uploads/2015/09/640.webp-71.jpg) 埃里克?錢（錢哥） 莫楚并未被嚇住。他開始自學分析師們用來破譯病毒、提取特征碼的工具。幾個月后，出現了間諜軟件和廣告軟件大爆發的情況，公司研究團隊需要增加人手，而這時的莫楚已經做好準備了。接下來的幾年里，莫楚仍然在有著賽門鐵克最大研究團隊的都柏林公司工作，直到2008年搬到美國卡爾弗城。 多年來，莫楚和他在賽門鐵克公司的同事們處理了多起令人矚目的、復雜的安全威脅事件。但沒有任何一次比得上震網這么刺激、這么具有挑戰性。 當莫楚檢測震網主文件時，他很快發現，文件采取了多層加密機制來保護其核心和多個組件。很幸運，第一層是容易破解的“打包”（packer）。 打包，是一種壓縮和分割代碼的軟件工具，目的是增加反病毒引擎識別代碼特征的難度，防止病毒檢測者迅速搞清楚代碼的功能。惡意代碼每次打包時，都會在外表上出現細微的變形，所以將同樣的代碼打包一千次，就會得到一千個不同的版本，而其內部的代碼是不變的。反病毒引擎能認出使用已知打包工具的惡意文件，將其解包，并識別出內部代碼的特征。為規避這種查殺，高明的攻擊者會定制出更不易識別和去除的打包工具。但震網的制作者并沒有這樣做。他們只是用了一種名為UPX——全稱“可執行文件終極打包器”的現成打包工具，所以很容易識別并破解。考慮到它其他部分的高級特征——零日漏洞利用程序、盜取數字簽名——他們選擇用UPX而不是更專業的定制版打包工具，讓人覺得有點奇怪。因此，莫楚斷定，打包的主要目的很明確，就是壓縮文件、減小體積。解包解壓完成后，主模塊的體積增大至1.18M。 解包之后，莫楚可以清楚的看到弗蘭克之前提到的有關西門子公司軟件的線索。更重要的是，他還發現了一個經過加密的代碼塊，它就是震網病毒的主干。這個代碼塊是一個包含30多個DLL（動態鏈接庫）文件和其他組件的巨大DLL文件，像俄羅斯套娃一樣一層一層加密、嵌套在一起。他還發現了一個功能強大的配置文件，攻擊者可以對其中400多項內容進行設置，從與震網保持通信的指揮控制服務器的網址（URL），到每次通過U盤上的漏洞利用程序感染計算機的數量。莫楚還幸運地發現，病毒為自己的感染設定了終止日期：2012年6月24日。每當震網病毒進入一臺新的計算機，都會檢查計算機上的日期，如果晚于這個日期，病毒就會停下來，放棄感染。已經被感染機器上的惡意程序載荷仍然會繼續運作，但震網病毒將不再感染新的計算機。推算下來，這個終止日期比震網首批感染伊朗計算機要晚3年。看來，攻擊者覺得，3年的時間足夠他們完成預定任務了。 震網最令莫楚感到牛逼之處，是他在目標計算機上隱匿文件的復雜方法，和調用一個貌似普通的函數完成超級任務的精巧招數。莫楚花了一天時間來搞清楚這些細節。當他完成的時候，被驚呆了。（待續） 正常情況下，Windows系統中執行打開文件、讀取文件或保存文件等一般任務的代碼，都保存在系統的.DLL（動態鏈接庫）文件中。當系統或其他應用程序要執行這些任務時，就會調用相關的.DLL文件，就像一名讀者在圖書館中查詢一本書那樣。然后，被調用的.DLL文件就會進入內存并運行。黑客們也會試圖將用于惡意活動的代碼儲存在Windows動態鏈接庫文件中，但反病毒引擎會掃描整個“圖書館”，發現本不屬于那里的“那本書”。所以，震網的設計者并沒有這樣做，而是讓[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")直接被調入內存，這樣反病毒引擎就更難探測到它了。單單這一點也沒什么大不了，因為很多厲害的黑客也會這么干。震網真正驚人之處在于，它獨辟蹊徑的代碼調用方式。 通常，內存中的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")在運行時，還需要向系統申請加載硬盤上其他文件中的額外代碼，這種行為是可以被反病毒引擎發現的。震網用了一個更好的思路。震網把運行所需的所有代碼都整合在一起，存放在多個有著奇怪名字的虛擬文件中。一般來說，這樣做是行不通的。因為當震網調用代碼時，操作系統根本無法認出這些文件名，或者根本無法在硬盤上找到這些奇怪的文件。但是，震網重寫了Windows系統的部分API（應用程序編程接口，通過它可以調用系統的內部函數），建立了這些奇怪文件和震網代碼之間的“掛鉤”關系。這樣一來，每當系統訪問這些奇怪文件時，就會自動將震網的全部代碼調入內存。如果反病毒引擎懷疑內存中的這些奇怪文件有問題、并對其進行檢測時，震網也提前想好了應對之策。因為它還重寫了API中關于顯示文件屬性的代碼，反病毒引擎只會“看到”：“這些文件是空的。這里什么都沒有，去別的地方找吧。” 這還沒完。一般的病毒執行代碼的方式是比較直接的：調用代碼并運行。但震網不是這樣。它被設計成一臺“魯賓?哥德堡機器”（一種被設計得過度復雜的機械組合，以迂回曲折的方法去完成一些本來非常簡單的工作）來更好的隱蔽自己——把自己的代碼植入某個正在運行的進程A的代碼塊中，然后把進程A的代碼拿出來放到另一個正在運行的進程B的代碼塊中。 莫楚驚嘆于病毒設計者為此次攻擊所投入的巨大工作量。近年來他所見過的最復雜病毒也沒有這么大的體量。而一般的病毒設計者只會盡可能少費勁，只要能讓病毒運行起來、逃過檢測就行了。如果僅僅是為了盜搶一些密碼或者拿到一點數據，根本沒必要在代碼研究方面費這么大周章。即便是貌似來自中國的高級間諜工具都沒有像震網這樣在手段上花這么大精力。莫楚僅僅認真檢測了這個1M大文件中的前5k，就發現代碼中到處都是陷阱。 很明顯，這不是一次標準的黑客攻擊，需要加以更細致的研究。但代碼的規模和復雜度意味著，靠莫楚單打獨斗顯然不行，得成立一個團隊才能對其進行全面的逆向工程和解構。所以莫楚自問：我們應不應該費勁去折騰這件事呢？如果賽門鐵克到此為止，轉向其他業務，沒人會說什么。畢竟，反病毒公司的職責是：在病毒肆虐前阻止其傳播、在病毒發作后清除染毒系統中的病毒。搞清楚病毒感染后究竟做了什么，其實還在其次。 雖然如此，雖然賽門鐵克已經檢測出、殺掉病毒，但是被震網感染的客戶們仍然超級想知道，震網到底對自己的計算機做了什么。它是否把密碼或重要文件偷走了？它是否修改或刪除了重要數據？莫楚感到，他們有責任追查到底。 當然，這并非莫楚繼續研究的唯一原因。別忘了莫楚是誰，他可是從小拆汽車長大的！一看到震網中蘊藏的謎題，他的小宇宙就按捺不住要爆發了。莫楚心想，震網這么復雜，絕不只是一個間諜工具；震網這么精致，絕不只是一般黑客的作品。我一定要把它拆個底朝天。 莫楚邂逅震網的第一天就要過去了。他把一天的發現記錄下來，把它發給了東京某團隊的同事，抱歉說自己沒有更多時間來分析這個病毒了。 東京團隊周末加班繪制了震網的結構框圖，對代碼進行了總體分析，以便使每個人都能對震網有個大致了解。 而莫楚呢？此時，他和英國籍女友正在加州瑪麗安德爾灣附近海灘的家中休息，但頭腦中始終縈繞著震網的代碼，揮之不去。有關它入侵系統復雜手段的記憶在他腦中不斷回放。莫楚開始懷疑，我是不是有些地方搞錯了？為了平復疑惑，他又回到辦公室把代碼又看了一遍，確認沒搞錯才滿意離開。 7月19日周一早上，莫楚當年仰視的那個反病毒團隊老大、如今是賽門鐵克應急響應團隊負責人錢哥已經從都柏林飛到了卡爾弗城。錢哥決定他們應該再找一個人，遠在巴黎公司、擅長解構疑難代碼的年輕人——高級軟件工程師兼系統分析師尼古拉斯?法里耶（Nicolas Falliere）。“錢莫法反毒天團”就此成立。很快，他們琢磨出一個解決方案。 [](http://www.aqniu.com/wp-content/uploads/2015/09/640.webp_34.jpg) 尼古拉斯?法里耶 震網如此巨大，有如此多的部分，難以快速理出頭緒。而指揮控制服務器是一個容易下手的點。所以，當法里耶忙著看代碼、爭取盡快“進入情況”時，莫楚和錢哥把矛頭對準了服務器。 每當震網感染一臺計算機，它都會“打電話回家”，目標是互聯網上以足球球迷網站為域名的兩個網址mypremierfutbol.com和/或todaysfutbol.com。域名顯然是用假名和假信用卡注冊的，顯示服務器地址分別在丹麥和馬來西亞。每當震網感染一臺計算機，它都會與服務器聯系，將感染成功的信息和本次感染的詳情傳輸過去。通信是加密的、防止他人隨意讀取，但攻擊者使用的加密算法出人意料的簡單、很容易破解。錢哥和莫楚一下就破掉了加密，然后看到了震網向服務器傳輸的內容：計算機名、所在域名、內網IP、Windows版本號以及是否安裝了西門子特定軟件。 每條數據都有助于攻擊者判斷震網是否正在接近目標。考慮到服務器無法看到攻擊過程，因此這些數據非常重要。一旦具有自我復制和傳播能力的病毒釋放出去，攻擊者就沒辦法控制它的行為了。這些返回服務器的數據，只能幫助攻擊者在一定程度上了解病毒在尋找目標過程中的傳播軌跡。 在這些數據中，有關西門子軟件的數據是真正關鍵的。因為，研究者很快會發現，當震網發現計算機上沒有安裝西門子公司的特定軟件，就什么也不做。它僅僅尋找機會繼續感染其他計算機，但不會在未安裝西門子特定軟件的計算機上釋放載荷。沒裝這些軟件的計算機只不過是用來找到最終目標的渠道。 莫楚聯系了與這兩個服務器域名相應的域名解析（DNS）服務提供者，要求他們停止切斷導向攻擊者的數據流，并把它引向一個“槽洞”（sinkhole）——一臺由賽門鐵克控制的、專門用于接收惡意流量的計算機。DNS服務商是因特網上管理數據流的“交通警察”，負責將電子郵件和瀏覽導向正確的地址，也就是說任何人任何時候在瀏覽器中輸入“nytimes.com”（紐約時報網站）或點擊網站上的某個鏈接，都能跳轉至它應當對應的IP地址。通過將流量導引至“槽洞”的行為，研究者可以實時收集震網這名士兵向上級——攻擊監控者報告的戰場態勢。7月20日周二早上，一大波數據流向槽洞襲來。 莫楚和錢哥用世界地圖作為背景圖層，每收到一條感染成功的記錄，就把這臺計算機的域名和所在國家標注在地圖上，并對這些數據的特征進行統計和分析——包括裝有西門子特定軟件的遭感染計算機數量。截至當周周末，統計顯示：共有來自數十個國家的38000多臺計算機與“槽洞”進行了聯系，大約每天新增遭感染計算機9000臺，并且這個數字在緩慢增加。據推測，病毒最終將感染分布在100個國家的10萬臺以上計算機。雖然反病毒公司已經發布了震網的特征碼和專殺工具，但它仍在快速傳播，這表明還有大量用戶并未升級最新的殺毒包。在“槽洞”收到的被感染計算機中，偶爾會出現其他安全公司的身影，看來，有其他安全公司也在對震網進行研究和測試。 當他倆將遭感染計算機的地理位置標注在地圖上之后，發現了一個異于常理的分布模式。在這38000臺計算機中，有22000臺在伊朗。印尼遠遠的排在第二，有6700臺，印度第三，3700臺。美國只有不到400臺遭感染計算機，其他國家遭感染數量也特別少。另外，在所有遭感染計算機中，只有很小一部分安裝了西門子公司的特定軟件，其中大部分——217臺在伊朗，相比之下美國只有16臺。 與之前全球病毒大規模爆發時常見的地區分布模式相比，上述統計數字顯示的結果截然不同。之前，伊朗的排名從來沒有靠前過，即使病毒肇始于中東和中亞地區，伊朗也從來不是重災區。看起來，這是一次針對伊朗伊斯蘭共和國某一特定目標的黑客攻擊。但是，如果說攻擊者最感興趣的是伊朗境內裝有西門子公司特定軟件的計算機，震網傳播的范圍又不僅于此。還有，為什么它在印度和印尼感染的計算機數量遠遠超過歐美呢？伊朗、印度、印尼三者之間有何共同之處，才使得病毒在此聚集？考慮到制作這些代碼所耗費的時間和金錢，莫楚和錢哥斷定，攻擊者根本不是為了偷什么設計圖紙或什么產品情報。弗蘭克的推測是錯的！攻擊者一定是為了偷取具有地緣政治和戰略價值的、關鍵系統中的情報。震網要找的西門子公司軟件，不僅大型工廠在用，很多關鍵基礎設施也在用。錢哥搜索了一下伊朗和印度有什么合作項目后發現，近幾年，雙方正在共同建造一條連接兩國的天然氣管道。這條名叫“和平管道”的天然氣管道長達1700英里，從伊朗南部的南帕爾斯油氣田開始，通過巴基斯坦，一直延伸到印度。而美國對建造這條管道的態度是：強烈反對。所以，這個項目因為地緣政治形勢變化和資金短缺等原因經歷了N多波折。在2009年，印度迫于美國的巨大壓力選擇了退出。但在2010年5月，在震網被發現的兩個月之前，印度又宣布重啟該項目。同時，伊朗決定開始設計建造項目境內部分的最后一段管道。 除此之外，還有一個跟伊朗有關的重大事件——快速擴張的核項目。伊朗正在準備在南部的布什爾地區開設一個核反應堆，而這件事讓伊朗和以色列及西方世界之間的關系持續多年緊張。比布什爾爭議更大的，是給布什爾反應堆提供核燃料的納坦茲鈾濃縮工廠。因為這個工廠，聯合國已投票通過對伊朗實施制裁的決議，甚至有人討論“對納坦茲實施空襲”。 這是一幅令人不安的地緣政治圖景。惡意代碼的復雜程度、偷來的數字簽名、伊朗身處遭感染的漩渦中心……這似乎暗示，震網可能肩負著一項機密的政府間諜任務。考慮到目標是伊朗境內某處，那么可能的攻擊方并不多。最有可能的是以色列、俄羅斯、中國和美國。 錢哥開始對這些問題展開思考。如果震網真的是某國政府的間諜戰武器，比方說是美國的，那么，之前設置“槽洞”的做法是不是太魯莽了？錢莫法團隊攔截了攻擊者意圖從伊朗遭感染機器傳回的數據，那么，這是否意味著自己可能已卷入到一場國際安全事件當中？這是否意味著自己已經對某項機密行動造成了破壞？這會產生怎樣的潛在影響呢？想到這些，錢哥倒吸了一口涼氣。 但錢哥現在顧不上考慮那么多。況且，保護某國政府的機密行動不是賽門鐵克公司的使命，不論是哪個國家。公司的使命是保護客戶的計算機。不管是誰制作了這個病毒，也不管它的目標到底是什么，只要它對賽門鐵克公司的客戶造成了影響，公司就有責任把它清除。 雖然賽門鐵克在震網的主戰場伊朗沒有客戶，但震網同時感染了其他國家的計算機，而且這種感染還在延續。而且，研究人員至今也還沒有弄清楚，震網的惡意載荷是用來做什么的，也不知道它是否包含能顯著影響非目標計算機的錯誤。 研究人員同樣無法確定的是，伊朗到底是病毒攻擊的目標還是發源地？震網有沒有可能是伊朗人制作出來、用于攻擊美國目標、卻不慎從實驗環境中泄露出來的？這樣也說得通啊。那么，如果病毒現在感染了美國的關鍵基礎設施，如某個發電廠、某個水壩或鐵路的控制系統，那么接下來會發生什么事？ 錢哥和莫楚決定，不能就此罷手，必須繼續偵查。 不論這個決定可能蘊含怎樣的政治含義，都只能留待水落石出之后再討論了。（待續）