第十五章火焰病毒 · 零日漏洞：震網病毒全揭秘

2012年春天，卡巴斯基團隊終于完成了對毒區及其服務器的分析工作。同時，他們相信，其中仍有一些未知數，有待進一步探索。即便是他們自己，都沒有想象到會得出這樣的結論：如此大膽而具破壞力的震網，居然只是一系列大型網絡攻擊行動中的一個分支而已。 4月，新的攻擊出現了。伊朗石油部和伊朗國家石油公司中發現一種新病毒，其功能是清除每一臺染毒計算機上的所有硬盤數據。它的破壞行為既系統又徹底，可以一次性刪除幾個G的數據。病毒攻擊的具體步驟是，先刪除文檔和數據，再刪除系統文件，最后摧毀硬盤的核心部分，造成不可逆轉的損毀。到底有多少臺計算機遭到了感染尚不得而知，但有傳言稱，去年12月就有計算機被這種病毒攻擊了。起初沒人注意，直到病毒擴散到不容忽視的地步才引起重視。而且，沒人知道，在病毒發起攻擊前已經潛伏了多久。人們只看到，病毒每次發起攻擊的日期都在當月20日前后。伊朗官方將其稱為“清除者”，并認為美國和以色列是攻擊發起者。但與此同時，他們卻說攻擊沒有造成持續的破壞，因為所有被刪除的數據都成功恢復了。之后，拉伊烏和卡巴斯基團隊從伊朗拿到一個染毒硬盤鏡像，發現情況簡直槽糕透頂。不僅全部文檔和關鍵的系統文件全無蹤跡，而且[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")本身也從硬盤上清除了。不過，他們還是發現了一個重要線索：注冊表的鍵值中有一個名為“~DF78.tmp”的臨時文件，是在破壞開始前的某一時點創建的。雖然文件本身已經被刪掉了，但名字還在，足以證明它確實存在過。對研究人員來說，文件名開頭的“~D”字符再熟悉不過了——這是毒區和震網命名染毒計算機上臨時文件的典型特征。那么，在“清除者”發起攻擊之前，這些計算機會不會已經感染了毒區或來自相同攻擊者的其他病毒？“清除者”和毒區會不會是由同一個團隊制作的？拉伊烏和它的團隊在公司的殺毒軟件中添加了一些功能，讓它能夠搜索名為~DF78.tmp的文件，并標注所有以“~D”打頭的臨時文件。結果，他們在多個國家發現了大量感染此類文件的計算機，其中來自伊朗的計算機占大多數。后來，他們得到了一個名為“~DEB93D.tmp”的臨時文件，發現它實際上是一個“嗅探器”的日志文件。它的功能是，在染毒計算機所在網絡中傳播，并記錄每臺計算機的密碼。沿著這條線索繼續挖掘，他們又找到了用于創建嗅探器日志的模塊文件。事實證明，這是一個非常有價值的發現。這個模塊文件既不像震網和毒區，也不像是“清除者”。因為，它的代碼沒有清除染毒計算機硬盤數據的功能。他們又搜索了公司的檔案庫，看看公司自動報告系統中有沒有出現過和它類似的病毒，結果出乎他們意料，符合條件的模塊文件一個接一個的往外蹦。他們總共發現了20個與之相似的模塊文件，各自名字互不相干，如“狂喜”“大嚼”“待定狀態”“迷霧”“快餐”等。看起來，這些文件都像是與某場攻擊有關的插件或組件。最讓他們感到好奇的，是2010年10月進入檔案庫的一個模塊文件，系統給它貼的標簽是“震網文件”。之前，當他們檢查該文件時，根本沒看出它跟震網有什么相似之處，就置之不理了。但現在當他們再次檢查時，發現兩者確實存在共同點——它們都包含同一個零日漏洞利用程序。這個漏洞，就是卡巴斯基和賽門鐵克兩年前分析震網時漏掉的那一個。這個零日漏洞藏身于名為“207號樣本”（Resource 207）的部分當中。由于這個部分只在震網2009年6月版本中出現，而沒有出現在震網2010年各個版本中，因此，卡巴斯基和賽門鐵克之前都沒有發現這個零日漏洞。從數量上來看，卡巴斯基和賽門鐵克拿到并分析的病毒樣本，大部分屬于震網2010年的各個版本，屬于2009年版本的非常少。 “207號樣本”中，包括震網2009年版本中利用U盤Autorun功能進行傳播的代碼段，也包括當年漏掉、如今新發現的這個漏洞利用程序。這個漏洞利用程序通過利用Windows系統壁紙功能中的一個緩沖區溢出漏洞，讓攻擊者獲得了染毒計算機的系統級權限。在攻擊者2009年2月制作這個漏洞利用程序時，該漏洞確實是一個“零日漏洞”，但當他們在4個月后將震網2009年6月版本上線時，Windows已經發布了這個漏洞的補丁。因此，當攻擊者在2010年3月上線震網新版本時，主動去掉了這個漏洞利用程序和利用Autorun功能傳播的代碼，換上了.LNK漏洞利用程序和另外兩個用于提升權限的零日漏洞利用程序。 “壁紙漏洞利用程序”的發現，意味著震網總共用過的零日漏洞不是4個，而是5個。更重要的是，震網和新出現攻擊之間的聯系進一步證明，震網只不過是攻擊團隊制作的一系列網絡武器的一部分。卡巴斯基的阿歷克斯·格斯特夫（Alex Gostev）把他的團隊分成了幾個小組，對新發現的20個模塊文件并行展開逆向工程，以尋找更多線索。得知公司成功發現“震網系列新成員”之后，大家非常興奮。再加上提神醒腦的咖啡因，人人干勁十足、通宵達旦。到第3周周末時，他們發現了一個規模超過以往所有病毒的網絡間諜工具集。根據其中一個主模塊的名字，他們將其命名為“火焰”。之前，震網以壓縮后500k的體積，成為世界上規模最大的病毒。而今，火焰所有組件加起來至少有20M，其中包括超過65萬行代碼，并具有與其規模相稱的復雜度。他們估計，要制作一套火焰這樣的工具，至少需要6名程序員花費3年的時間。要想把它徹底破解出來，即便搭上卡巴斯基公司的所有員工，最少也得4、5年。所以，他們理智的將目標調低，決定破解出足夠理解其大致功能的部分代碼即可。多年來，卡巴斯基團隊見過各種各樣的網絡間諜工具，但火焰的出現，讓這些工具全都相形見絀。如果詹姆斯·邦德的Q部門（Q Branch，意為軍需處）擁有一個網絡武器庫的話，火焰一定會是其中之一。在火焰中，充滿了無數種收集情報的方法、組件和技巧，簡直稱得上是一部間諜工具百科全書。其中，有的模塊負責從染毒計算機中直接盜取文檔，有的模塊負責獲取擊鍵記錄、每隔15至60秒抓取屏幕截圖，有的模塊通過暗中打開染毒計算機上自帶的麥克風來偷聽環境聲音，還有的模塊利用染毒計算機的藍牙功能，自動搜尋可與之連接的智能手機和有效通信范圍內的其他藍牙設備，再盜取手機或設備上的數據。看來，火焰應該是一種多用途的偵察工具，能滿足各種任務的不同需求。不過，火焰并不會在每個目標上使用它的全部代碼，而僅僅是按需部署。在大部分行動中，首先載入目標計算機的是一個大小為6M的“搶灘部隊”，其中包含一個后門。攻擊者可以利用這個后門，隨時通過指揮控制服務器在目標上安裝新的間諜工具模塊。（待續）用于支持火焰基礎設施和資源同樣規模巨大，讓研究員們大開眼界。他們在德國、荷蘭、瑞士等地共發現了至少80個用作指揮控制服務器的獨立域名。攻擊者通過這些服務器，控制染毒計算機、收集盜取文檔。據推測，攻擊者注冊如此眾多域名的目的，是根據任務和目標屬性的不同，對各類目標實施分別管控。為了注冊這些域名，攻擊者使用了伊凡·布里克斯（Ivan Blix）、保羅·卡爾查內塔（Paolo Calzaretta）、特瑞安·盧瑟蘇（Traian Lucescu）等大量假身份，并通過預付信用卡進行支付，以隱藏其真實身份。卡巴斯基的研究員建了一個槽洞，可獲得大約30臺服務器的同步數據流。槽洞建好之后，來自伊朗和其他地區的染毒計算機紛紛與之通信，被盜取的文件也不斷涌來。但是，由于攻擊者對盜取文件進行了加密，研究員們無法看到其中的內容。之后，卡巴斯基將火焰的特征碼加入了本公司殺毒軟件的特征庫，很快又發現了數百臺染毒計算機。不出意外，其中189臺來自伊朗，排名第一。另有98臺來自巴勒斯坦地區，來自蘇丹和敘利亞的各有30臺。正當卡布斯基專注于分析火焰的模塊文件時，匈牙利的本恰特給拉伊烏帶來了新消息：他收到了一個來自伊朗的可疑文件。自發現毒區時起，卡巴斯基和本恰特就建立了良好的關系和常態化的聯絡機制。經過比對，拉伊烏團隊發現，這個文件正是他們發現的20個模塊文件其中之一。同時，賽門鐵克也收到了本恰特發出的消息。由此，圍繞火焰的破解，賽門鐵克與卡巴斯基兩家開始了一場競賽。賽門鐵克將該文件特征碼加入殺毒軟件后，在澳大利亞、匈牙利、黎巴嫩、俄羅斯、阿聯酋和香港發現了更多染毒計算機。最終統計數字顯示，火焰病毒共感染了超過1000臺計算機，遠遠超出毒區感染的36臺，又遠遜于震網感染的10萬多臺。與震網不同，火焰沒有自動傳播功能，只有當攻擊者發出相應指令時，傳播機制才會啟動。因此，與震網感染了許多非目標計算機不同，每一臺感染火焰的計算機都是攻擊者有意選取的。拉伊烏推測，攻擊者會根據任務需要，分期分批的選取目標、實施攻擊。火焰的攻擊目標類型各異，既有個人、私營公司，也有政府部門和學術機構。但不難看出攻擊者的真正興趣何在。他們列出了一個目標文件類型清單，其中包括Word文檔、PPT文檔Excel文檔，還有和毒區一樣的AutoCAD制圖文檔，以及最顯眼的目標——數字證書。雖然目標清單很長，火焰卻不會盜取滿足條件的所有文件。它的做法是，從每個目標文件中提取1K大小的文本，將其回傳至一個指揮控制服務器，再轉移到另一個位置。拉伊烏懷疑，這個位置，是攻擊者建立的一個超級計算機，它能對盜取的文本采樣數據進行分析，并判定哪些文件值得完整盜取。作為旁證，一年后斯諾登泄露的NSA密檔中，有一個名為“渦輪”（TURBINE）的控制工具，其設計功能與拉伊烏設想中的超級計算機高度吻合。（見第12章）既然火焰的行動部署如此嚴密，它能長期隱蔽攻擊就不足為奇了。最早的火焰樣本發現于歐洲的一臺計算機，其創建日期是2007年12月。另有一臺位于迪拜的計算機，遭受火焰攻擊的時間是2008年4月。有些用作指揮控制服務器的域名正是在這個時段注冊的。另有一批域名的注冊時間是2009年和2010年，但域名注冊最集中的時段是2011年，此時震網已經曝光。這意味著，早在曝光之前，火焰已經實施了至少5年的持續攻擊而未被發現，并且在震網和毒區的研發和攻擊過程中起到了積極作用。至此，一個由間諜工具和破壞性武器組成的網絡武器庫漸漸浮出水面。這個武器庫的目標不僅是伊朗核計劃，還包括更廣泛的其他目標。研究人員發現，對于這個武器庫而言，共有兩個相對獨立的開發平臺。一個是研制大量間諜工具的火焰平臺，另一個是研制毒區的“~D平臺”。由于前者比后者更高端、更復雜，因此這兩個平臺背后，可能是兩支平行運作的研發團隊。然而，在震網生命周期的不同階段，這兩個平臺都發揮了自己的作用。拉伊烏推測，火焰的研發始于2005或2006年，因為指揮控制服務器上的代碼編寫日期是2006年12月。他還認定，火焰大約在2007年初基本成型。而最早的毒區注入器樣本，編譯時間為2007年8月；最早的毒區情報收集器，其編譯時間為2008年11月。拉伊烏確信，在制作震網時，攻擊者用火焰充當了震網的“助推器”，而后，又將火焰用到了毒區的開發平臺上。他的證據是，震網2009年版本中那個包含Autorun攻擊代碼和“壁紙漏洞利用程序”的“207號樣本”，與火焰主模塊的一個早期版本非常相似。由此推斷，火焰在2007年已經成為一種可用的偵察工具，而當2009年，攻擊方需要編寫震網導彈部分時，火焰團隊把“207號樣本”代碼段分享給了震網團隊，幫助后者成功制成了震網的導彈部分。當時，震網的載荷部分已經制作就緒，只等導彈部分來配合“發射”了。拉伊烏說，“攻擊者可能正面臨著迅速推出震網的巨大壓力，于是只好把火焰中已經成型的插件拿過來，用到了震網上。” 此后，震網和火焰分道揚鑣。火焰團隊不斷強化其功能，把它打造成了一個大型偵察工具。到了2010年，震網團隊打算上線新版本、發動新一輪攻擊時，轉向了先前用于制作毒區的“~D平臺”。那么，他們為什么會轉向毒區平臺呢？據分析，震網2010年版本的導彈部分，需要用到多個零日漏洞利用程序和額外的傳播機制，這些功能比上個版本復雜得多，需要編寫更多代碼。而“~D平臺”的編碼方式更簡單，有更多小工具可用。這可能就是震網團隊轉向的原因。先不論火焰在震網事件中到底扮演了何種角色，它自身的偵察行動在2012年5月8日這一天徹底曝光于世。卡巴斯基和賽門鐵克兩家公司幾乎同時發布了“發現火焰病毒”的聲明。消息傳出后，攻擊者迅速采取了應對措施。在第1條消息發布1小時內，所有與火焰有關的指揮控制服務器都停止了服務，這場長達5年的大規模偵察戰役在取得巨大成就之后，瞬間中止了行動。攻擊者反應之迅速，不僅讓人懷疑，他們已經做好了行動暴露的準備，只等消息公布了。現在，火焰之舞煙消云散，繞梁余音卻不絕于耳。火焰服務器關閉幾天后，微軟發布了一則聲明，宣稱在卡巴斯基和賽門鐵克公司對火焰攻擊研究成果的基礎上，發現了一個更嚴重的情況。（待續）這天是美國陣亡將士紀念日的假期，當火焰病毒曝光的新聞出現時，位于華盛頓州雷德蒙德的微軟公司總部根本沒幾個人上班。不過，公司應急響應團隊一聽說這場新攻擊與震網和毒區來自同一批攻擊者，立刻下載了火焰病毒的文件樣本。他們想知道，這場新的攻擊有沒有像震網和毒區那樣利用了Windows系統的零日漏洞。當他們仔細分析其中一個文件時，他們意識到，他們看到的，是比零日漏洞更為恐怖的東西——火焰攻擊了微軟的Windows自動更新系統，以實現其在局域網內傳播的目的。 Windows自動更新系統，是微軟用于向廣大用戶分發軟件更新包和安全補丁的自動推送系統。要獲得更新，需要用戶計算機上的一個客戶端工具與微軟更新服務器進行聯系，在可用更新出現時進行下載。多年來，網絡安全業界曾多次警告微軟，要小心黑客攻擊Windows自動更新系統，并用更新機制傳播[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")，從而威脅億萬微軟用戶的安全。雖然火焰的攻擊沒完全實現警告中的預言，但形勢同樣兇險。它并未攻擊微軟向全體用戶分發更新的Windows服務器，而是攻擊了用戶計算機上的“自動更新客戶端工具”。這兩者貌似區別不大，但這個區別非常重要。如果火焰攻擊的對象是前者，就會在全球范圍內造成廣泛影響。但火焰采取的這種攻擊方式意味著，它只會影響攻擊者選定的那些小型目標網絡，而不會危及目標網絡以外的用戶。像Windows系統中的其他軟件一樣，微軟也會對它的“自動更新客戶端工具”進行更新。每當客戶端工具成功安裝到用戶計算機上，都會立即向微軟的服務器發送一個信標，看有沒有新版本可供下載。微軟則會通過一系列.CAB文件分發這些更新，并簽上了微軟公司的數字證書，以證明其合法性。攻擊者首先使用火焰病毒感染目標網絡中的一臺計算機，然后，當網絡中其他計算機向微軟服務器發送信標、檢查客戶端工具新版本時，已感染火焰的計算機就會對這個信標實施攔截，并將火焰的惡意文件打包為合法的微軟.CAB文件，作為客戶端工具的新版本發送給提出請求的計算機，從而實現火焰的傳播。不過，這還不是攻擊中最復雜的部分。為實現傳播，攻擊者為打包成.CAB文件的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")簽上了微軟公司的數字證書，只不過把證書中的“公司名稱”由“Microsoft Corporation”改成了“MS”。微軟研究員很快注意到了這個細節。這個假冒數字證書由微軟終端服務數字證書認證機構（Microsoft’s Terminal Services Licensing Certificate Authority）于2010年2月簽發，但很明顯，這不是一個由正規認證機構簽發的合法證書。難道微軟的服務器遭到了攻擊，或者是數字簽名的密鑰被盜了？研究員必須在其他人成功模仿火焰攻擊者的行為出現之前，抓緊時間分析出攻擊者盜用數字證書的方法。因此，他們立即給處于休假狀態的同事們打電話，把他們召回公司，組建了一個專項應急團隊。經過分析發現，攻擊者用了一種名為“MD5哈希碰撞”的方式破解了微軟數字證書。MD5哈希值是通過一種名為“MD5”的加密算法對數據加密后生成的一個值。由于每個數據用MD5算法運行之后都能得到一個唯一的值，因此人們普遍將這個值當作數據的“指紋”。然而，MD5算法已出現多年，而且存在一個致命的弱點——其他人可以用不同的數據，運行同樣的算法，生成同樣的MD5哈希值。這個過程就是哈希碰撞。基于此原因，很多公司都停用了MD5加密算法。但微軟自從1999年構建終端服務認證機制至今，始終在使用MD5加密算法。 [![](https://box.kancloud.cn/2015-12-08_5666b1c28e248.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp_29.jpg) 哈希碰撞終端服務認證（TS Licensing）是微軟公司向用戶提供的一個服務，用戶可以在運行微軟服務器版操作系統的計算機上使用這項服務。通過這項服務，用戶可以讓多個用戶或多臺計算機同時使用服務器端的軟件。不過，用戶需要向微軟公司購買認證，比如購買100個用戶的認證權限，然后向微軟終端服務數字證書認證機構提交申請。該機構會生成一個標有用戶姓名的數字證書，上面還附有簽發時間戳和數字證書的序列號。當微軟發布該證書時，會將包括簽發時間戳和證書序列號在內的所有數據，用MD5加密算法加密，生成一個哈希值，然后用這個哈希值作為數字證書的簽名文件，將它們一并發給用戶。這樣，用戶就可以使用這個數字證書來確保，只有經過認證的計算機或個人才能使用這個軟件。但在火焰事件中，攻擊者通過“哈希碰撞”，實現了“用與微軟公司同樣的哈希值，為它們偽造的數字證書以及偽造.CAB文件開路”的目的。在攻擊者向微軟提交數字證書請求之前，它們制作了一個含有“微軟真實證書應有內容”信息的虛假證書，并進行了一些細微的改動。經過反復改動和調試，終于得出了與微軟某個數字證書相同的MD5哈希值。這說起來容易，但可不是誰都能做到的。在這個過程中，必須要用MD5算法對虛假證書數據進行成千上萬次加密運算和修改，才可能得到一個與微軟真實證書完全一致的哈希值。這對計算機的運算能力要求非常高。同時，要做到這一點，攻擊者還需要對“微軟為數字證書安排序列號的規則”和“微軟認證服務器簽發證書的精確時間”了如指掌，因為，這些數據要和微軟證書一并作為運行MD5加密算法的明文。如果在簽發時間上出現了毫秒級的偏差，兩個哈希值就會不一致，攻擊者通過“碰撞攻擊”得到的哈希值就無法成功還原成虛假證書。也就是說，在發動攻擊之前，攻擊者必須對微軟終端服務認證機制進行全面的研究，并對多個（可能上百個）微軟數字證書進行測試，最終才能得到正確的簽發時間和序列號。然后，攻擊者用同樣的哈希值還原出虛假證書，再用假證書讓系統認為“內藏火焰文件的.CAB文件就是更新客戶端工具的新版安裝包”。由于哈希值是真的，系統根本無從辨別。這段針對Windows更新機制的攻擊，可以稱得上是一項具有開創意義的數學研究成果，其水準之高，只有世界級密碼專家才能企及。卡巴斯基的研究員聽說此事后，將其稱為“上帝制作的漏洞利用程序”，因為它超越了一般黑客的技術層次，其傳播效果也大大優越于利用零日漏洞編寫的惡意程序。如果攻擊者更進一步，直接攻破Windows更新補丁服務器，那就真可謂登峰造極了。微軟的研究員起初估計，其他有實力的黑客要想掌握微軟證書認證和更新系統中的漏洞，并模仿火焰發動新攻擊、傳播新病毒，怎么也得用12天。但他們扮演模仿攻擊者，一步一步實施攻擊所需步驟并同步記錄時間后發現，如果真的有人想跳過MD5碰撞的部分，發動一個沒這么復雜的類似攻擊，只需3天即可實現。為防止類似攻擊出現，微軟方面爭分奪秒，針對潛在攻擊者可能利用的漏洞，緊急發布了一個臨時補丁。作為應對最嚴重漏洞的后備手段，此前，微軟僅在2011年發布過一個臨時補丁。這也充分表明，對于火焰對自動更新系統發動的攻擊，微軟上下高度重視，如臨大敵。之前，毒區和震網的攻擊者已經撼動了因特網賴以生存的可信體制的基石。先是盜取了幾家臺灣公司的數字證書，用在震網的假驅動上；后是直接把毒區潛入數字證書認證機構內，并大肆盜取數據。不過，火焰中的這個漏洞利用程序比前兩者走得更遠。它憑借一己之力，動搖了世界上最大的軟件生產商和它億萬用戶之間的信任。假設美國政府是火焰的幕后操盤者，那么，在實施攻擊之前，他們是如何說明其行動的合法性，并得到法律批準的呢？很可能是這樣的：他們聲稱，火焰攻擊的對象只是目標網絡中的Windows個人用戶，而非真正的微軟公司服務器，因而不會給所有微軟用戶帶來風險。通過這種方式，他們可以只對少量外國目標“開槍”，而不會傷及國內用戶。然而，雖然攻擊者沒有直接攻擊微軟服務器，但仍然對廣大微軟用戶造成了不可挽回的傷害。攻擊更新客戶端工具的行為，已經破壞了用戶對微軟自動更新服務體系的信任，并會促使用戶放棄使用這個工具，以免收到對系統安全造成危害的（虛假）更新包。那么，誰應該為破壞微軟公司與用戶之間的信任負責呢？在火焰曝光的新聞發布3周后，幾位前美國政府官員發聲了。他們告訴《華盛頓郵報》，火焰是國家安全局、中情局和以色列軍方發起的聯合作戰行動。這幾位匿名人士指出，正如卡巴斯基的拉伊烏團隊所推斷，火焰的研發工作始于2007年的某個時點。它的目的是收集與伊朗官員有關，以及有助于掌握伊朗核設施中計算機網絡拓撲結構的情報。他們還說，火焰只是一個早期的偵察工具，之后被其他工具取代了。 “火焰的出現，是為了給另一個秘密作戰行動探路。”另一名前任美國情報官員說，對伊朗核設施的網絡偵察“不過是順手牽羊而已。”他說的“另一個秘密行動”，可能是指“國家安全局使用某種預埋后門，通過無線電波回傳目標計算機數據”的網絡偵察行動。（見第17章）值得一提的是，他們還揭秘了當年早些時候發生在伊朗的“清除者”攻擊事件。他們告訴報社記者說，不小心牽出火焰的那次針對伊朗石油部的攻擊也是政府部門的杰作。但是，與震網和火焰不同的是，“清除者”攻擊不是由美以兩國聯合發起，而是以色列單獨實施的。他還說，就是因為這場攻擊（被發現），才讓美國方面猝不及防。（待續）在處于地下狀態多年后，具有國家背景的網絡攻擊一個接一個的遭到曝光。不過，曝光還沒結束。很快，卡巴斯基的研究員發現，仍有來自同一批攻擊者的更多惡意程序在外潛行。原來，在成功訪問幾臺火焰用過的指揮控制服務器后，他們再次取得重大進展。他們發現，在火焰曝光新聞發布10天前，攻擊者發起了一場大規模的戰場清理行動，抹去了他們之前在服務器上的所有行蹤。這說明攻擊者當時已經得到了“行動即將暴露”的預警消息。但是，他們在清理中犯了一個錯誤，把一臺馬來西亞的服務器漏掉了。因為，在清理行動幾周前，攻擊者不小心更改了服務器的配置，不經意間把自己鎖在了外面。結果，等他們想清理數據時，發現自己已經進不去了，這才讓卡巴斯基發了一筆橫財。除了大部分數據之外，完好無損保留下來的，還有攻擊者用于向染毒計算機發送火焰模塊、回傳盜取數據的控制面板。這個控制面板被設計成一個名為“今日新聞”的商業信息發布平臺，以蒙蔽進入服務器的外部訪客，讓其誤以為是某家報紙或媒體公司的網站。攻擊者把用于安裝在目標計算機上惡意程序保存在名為“新聞”和“廣告”的文件夾中，把從目標計算機上盜取的數據和文件保存在名為“記錄”的文件夾中。卡巴斯基研究員還在服務器上發現了用于記錄“每臺與其通信的染毒計算機IP地址”的日志文件。雖然服務器建立的時間并不長，但在從3月25日上線開始的10天之內，共有來自數十個國家的5377臺染毒計算機跟它進行過通信聯絡。其中，3272臺位于伊朗，1280臺位于蘇丹，只有不到100臺來自其他國家。拉伊烏團隊意識到，火焰共有80臺服務器，如果1臺服務器在短短10天之內就與5000多臺染毒計算機建立了通信聯絡，那從火焰上線的2007年或2008年起算，染毒計算機總數將高達數萬臺。這比之前測算的規模可大多了。他們還在馬來西亞的服務器上發現了一個裝滿盜取數據的文件，其大小為5.7G。拉伊烏推算，如果這么多數據都是在10天之內盜取的，那么在過去5年多來，火焰盜取的數據總量將多達數T。但在震網留下的另一個證據顯示，與馬來西亞這臺服務器之間進行通信的，不是一種惡意程序，而是4種。這推翻了拉伊烏的假設。按照制作時間的先后順序，它們依次被命名為SP、SPE、FL和IP。每種惡意程序與服務器之間的通信協議各不相同，都是攻擊者分別定制的。經分析，FL指的是火焰（Flame），但尚不清楚另外3種指的是什么。卡巴斯基的研究員之前見過的只有SPE，另外兩種則從未露過面。當時，他們利用截取通往火焰服務器數據的槽洞發現，位于黎巴嫩、伊朗和法國的約90臺計算機感染了SPE，并用其特有的通信協議與槽洞間進行了數千次通信。但是，當時他們沒能得到SPE的樣本，因此并不知道它的功能是什么。這些發現之所以像震網、毒區和火焰曝光一樣令人震驚，倒不是因為其攻擊的手段和技巧，而是帶給人們一種這樣的印象：在美國和以色列開發的網絡武器庫中，震網、毒區和火焰只是冰山一角。事實正是如此。在火焰曝光幾周后，卡巴斯基偶然之間又發現了一種已潛藏數年的間諜工具，而且，疑似具有國家背景。每當拉伊烏團隊發現關于震網、火焰或毒區中的新文件或新信息，他們都會將相關的特征碼加入公司的反病毒分析系統，并調整搜索公司[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")檔案庫的關鍵字，以查找新發現文件的不同版本。一次，他們從自動報告系統中發現了一個來自某中東地區用戶計算機的惡意文件。這個文件在系統中被標示為“火焰病毒模塊文件”，同時被注明“與火焰服務器進行通信”。但是，經過比對，卡巴斯基發現它既非火焰，也非另外3種神秘的惡意程序——SP、SPE和IP。他們將該文件的特征碼加入了公司反病毒引擎，陸續發現了來自25個國家約2500個染毒計算機。其中，來自黎巴嫩的最多，超過1600個，以色列482個，巴勒斯坦地區261個，美國40個，來自伊朗的只有1個。接下來是逆向工程和代碼分析。他們發現，它在庫文件、算法和基礎代碼方面與火焰有許多相同點，難怪自動報告系統把它標示為“火焰”呢。代碼中還留下了一些項目數據（project data）及存儲路徑。這些路徑表明，在攻擊者用于開發的計算機上，這些文件存儲在一個名為“火焰噴射器”（Flamer）的文件夾中。卡巴斯基的研究員根據它某一主模塊的名稱，將它命名為“高斯”。他們猜測，這個名字似乎是在向著名數學家弗里德里希·高斯（Johann Carl Friedrich Gauss）致敬。還有其他模塊是以數學家拉格朗日（Joseph-Louis Lagrange）和密碼學家哥德爾（Kurt G?del）命名的。很快，研究員的猜測得到了證實。因為，攻擊的載荷部分中使用的加密機制非常繁復而難懂，必定出自高人之手。 [![](https://box.kancloud.cn/2015-12-08_5666b1c2a0578.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp-613.jpg) 著名數學家弗里德里希·高斯和火焰一樣，這個神秘的新惡意程序也是用來偵察的，但它功能清晰、相對獨立，體量也遠遠小于火焰。它的主要功能包括盜取系統密碼，記錄配置數據，收集社交網絡、電子郵件以及即時通信賬戶的用戶名密碼。此外，它還有一個模塊使用了震網中出現過的.LNK漏洞利用程序，功能是感染U盤。此外，研究員在高斯的代碼中還發現了一種專門盜取銀行賬戶賬號密碼的木馬程序。這種木馬，在具有國家背景的網絡武器中還是首次露面。不過，這可不是普通的銀行卡盜號木馬，它的目標很明確，就是貝魯特銀行、EBLF、BlomBank、FransaBank和Credit Libanais這幾家黎巴嫩大銀行的客戶。而且，它對賬戶中的金錢毫無興趣，而是另有所圖。原來，攻擊者懷疑，這些銀行為伊朗核計劃相關業務和伊朗人撐腰的黎巴嫩真主黨（Hezbollah）洗錢，所以用網絡偵察工具對這些銀行的目標賬戶余額和交易明細進行監控，以明確這些賬戶之間的關系，并追蹤資金流向。高斯的代碼中，有兩個問題難住了卡巴斯基的研究員。第一個問題是，高斯會在染毒計算機上安裝一種名為“帕利達窄體”（Palida Narrow）的定制版字體。和毒區中的“德克斯特標準體”一樣，帕利達窄體也是攻擊者憑空編造的。不同的是，后者的文件中并沒有任何漏洞利用程序和[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")。實際上，研究員根本看不出來它有什么功能，所以搞不清楚攻擊者為什么要安裝這樣一個東西。第二個問題更加難解。研究者在部分染毒計算機上發現了高斯的載荷，但不知攻擊者對它使用了何種加密算法，怎么也無法穿透它堅硬的外殼。與采取“感染即釋放載荷、滿足配置條件執行載荷”機制的震網不同，高斯只會把載荷釋放到滿足特定配置條件的計算機上。看來，這一次攻擊者吸取了震網曝光的教訓。攻擊者通過控制釋放載荷目標的數量，就可以最大限度的減少被人發現的機會。高斯傳播彈頭的方式是，通過U盤秘密“轉移”。而且，它很有節制，只會感染第一個插在染毒計算機上的U盤。當這個被感染的U盤被插入另一臺計算機時，高斯會檢查這臺計算機的配置信息，如果滿足條件，才會釋放載荷。同時，它會把感染過的每臺計算機的配置信息記錄下來，并存儲在U盤的一個隱藏文件中。如果U盤正好被插入一臺感染了高斯的聯網計算機，就會立即將這個隱藏文件發送到攻擊者的指揮控制服務器。借助這種手段，攻擊者可以掌握高斯的最新戰果。（待續）為了預防載荷暴露，攻擊者還采取了另一種保護措施。我們知道，震網載荷的解密密鑰是放在惡意文件內部的。而要想解密出高斯的彈頭，必須根據目標計算機配置數據，動態生成解密密鑰。為同時確保“不會誤感染非目標計算機”和“即使發現也無法暴力破解”這兩個目標，攻擊者精心設計了非常變態的密鑰生成機制。首先，高斯會收集目標計算機的特定配置數據，包括某些目錄、程序文件夾和其他本地數據，然后將它們的文件（夾）名跟“Windows Program Files文件夾中每個子文件夾名”一個接一個的連接起來，生成一個很長的字符串。之后，高斯會讓字符串與一個特殊的值相加，然后用MD5哈希算法運行10000輪，每一輪的結果作為下一輪的初值。只有最終生成的哈希值與預定的目標值相等，高斯才會執行下一步動作。算出滿足條件的終值后，高斯仍然不會立即釋放載荷，而會把它與另一個值相加，然后把相加結果作為初始值再次進行10000輪哈希運算。這樣得到的運算結果，才是解密彈頭的密鑰。解密完成后，高斯會用同樣的配置數據生成同樣的長字符串，令其與另一個特殊值相加，通過運算生成第二部分代碼的解密密鑰，然后再次重復這一動作，生成代碼第三部分代碼的解密密鑰。要想在攻擊行動中實現全程可控、萬無一失，如此行事方為王道。與高斯相比，震網的載荷在反破解方面實在是不堪一擊，研究者輕輕松松就完成了解密，并判斷出了它的功能。而高斯載荷所具有的變態加密機制，相當于給彈頭裝了一層金鐘罩，誰都無法將其破解。實際上，盡管卡巴斯基曾對解密密鑰中的配置信息實施數百萬次暴力配對，但仍然沒能算出正確的密鑰。他們肯定會想，為什么攻擊者會費這么大勁保護高斯的載荷呢？要知道，高斯用來入侵銀行和金融網絡的木馬可不是什么善類，所以，不能排除它在除了監控資金流動之外，可能還有著像震網、清除者那樣的破壞力，或其他的敏感功能。研究員們面對高斯的加密載荷無計可施，只好停下了破解高斯的步伐。但在分析的過程中，他們幸運的發現了另一個惡意程序——SPE的樣本。 SPE是與火焰指揮控制服務器通信的4種惡意程序之一，且曾在幾個月前與他們建立的火焰槽洞進行過聯系。他們發現，SPE是一個獨立的模塊，但并非一個完整的攻擊體系，既可以單獨使用，也可以與火焰或高斯協同行動，以加強其偵察能力。由于SPE是卡巴斯基團隊發現的“高斯和火焰之間的直接連接點”，因此將其命名為“迷你火焰”。以前，他們曾認為高斯和火焰是由同一批攻擊者分別發起的兩場各自獨立的攻擊行動，但迷你火焰的出現推翻了這個假設。緊接著，卡巴斯基甚至在一臺黎巴嫩的計算機上同時發現了這3種惡意程序：火焰、高斯和迷你火焰。火焰可以在染毒計算機上建立后門，并負責收集情報數據，使攻擊者能遠程檢測其配置信息、并掌握目標在其所處網絡中的位置。據估計，攻擊者可能會先使用火焰或高斯對目標實施感染，收集其基本情況數據并判斷其價值。如果發現確有需要實施“直接控制、清除特定數據或進一步網絡探測”等行動的高價值目標，攻擊者才會將迷你火焰安裝到目標上。而當迷你火焰進入目標之后，攻擊者就會通過指揮控制服務器向目標發送一個模塊，用它清除之前使用的火焰等偵察工具，從而盡可能消除行動的痕跡。卡巴斯基發現，感染迷你火焰的計算機一共只有50臺左右，主要位于以伊朗為首的中東地區，在立陶宛和美國也有分布。在染毒計算機上，他們共發現了創建于2010年10月至2011年9月間的6個變種。但是，根據模擬火焰與指揮控制服務器間通信協議的創建時間推測，第一個迷你火焰可能與震網、毒區和火焰共同創建于2007年。奇怪的是，在2012年夏天一段長達4個月的時期內，迷你火焰共與卡巴斯基的槽洞進行了14000次通信，但在6月4日至7日這4天當中，它們之間連1次通信都沒發生，這讓卡巴斯基的研究員感到不可理解。隨著最后一個模塊的曝光，一系列具有國家背景的網絡武器庫全部大白于天下，卡巴斯基的研究員們總算可以喘口氣了。因為，拉伊烏團隊已經得出了非常詳盡的研究結論，研究人員完全可以把精力轉向其他工作了。正當他們一項接一項的發布研究成果時，業內卻出現了懷疑的聲音：卡巴斯基這么不務正業，到底有什么動機？就像賽門鐵克之前曾因“曝光震網是對美國的不忠，傷害了美國的國家利益”而飽受指責一樣，有人懷疑，位于莫斯科的卡巴斯基實驗室在俄羅斯情報部門的授意之下，有意曝光并破壞西方的網絡偵察行動。然而，拉伊烏說，他們所從事的一切研究活動，從未受到任何政府或情報部門的影響或指導。他們認為，團隊的所作所為沒有任何政治考量，和賽門鐵克的研究員一樣，他們唯一的目標就是運用自己逆向工程的技能，為保護客戶安全提供服務，并為整個計算機行業提供安全保障。而且，實際上，他們用來曝光“震網-火焰團伙”的研究活動，是與公司自身的商業利益相悖的。當時，卡巴斯基實驗室正在大力開拓美國市場，公司創始人尤金·卡巴斯基則為之整日奔波，以求在華盛頓和以色列廣結善緣。想要討好美以兩國政府的尤金，想必也是心存塊壘。他在外面屈尊跪舔，研究員們卻在家里揭人老底。 [![](https://box.kancloud.cn/2015-12-08_5666b1c3475de.jpg)](http://www.aqniu.com/wp-content/uploads/2015/11/640.webp_30.jpg) 尤金·卡巴斯基影響他們工作的，還不僅僅是公司的商業利益。之前賽門鐵克的研究員在分析震網的過程中，有可能曾經受到以色列、美國甚至伊朗情報部門的秘密監視，只不過沒抓到確鑿證據而已。而拉伊烏非常確定，2012年春天，他在慕尼黑的一個研討會上遭到了跟蹤。那時，他們剛剛發現火焰，但尚未公開發布消息。拉伊烏注意到，當他在慕尼黑某酒店登記入住時，有個人在前臺鬼鬼祟祟，好像是要偷窺他的房間號碼。之后，他又在去洗手間途中和回賓館房間途中，兩次發現有人尾隨。當他跟同事們談到這件事的時候，同事們說他們也有同樣的經歷。他懷疑，跟蹤他們的人是外國情報部門的特務，卻又無從考證。再之后，有3個以色列人來找過他了解關于毒區的事情，還有1位女士專門來問他，卡巴斯基能不能把硬盤上被刪除的文件恢復出來。后面這個問題的確有點令人擔憂，因為卡巴斯基正在努力復原之前被“清除者”病毒刪掉、來自伊朗石油部的文件。另一個殘酷的現實是，震網的出現，改變了以病毒查殺為核心的網絡安全行業的生態環境。以前，研究人員在曝光[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")時，面對的唯一風險就是，他們可能會遭到憤怒的網絡犯罪分子的報復，并因此丟掉飯碗。但曝光具有國家背景的[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")，則會給他們帶來更大的隱憂。拉伊烏決定，為了他剛組建不久的家庭，不能再像以往那樣高調了。慕尼黑跟蹤事件后，他表示不再參與公開披露國家背景惡意程序的媒體事務，把相關職責轉給了其他同事。不久之后，卡巴斯基的研究員有意識的將注意力從“震網-毒區-火焰”項目轉向了另一個事件。有人認為，這個事件具有俄羅斯官方背景。這場被稱為“紅色十月”的網絡攻擊，主要目標是東歐和中亞地區國家的外交部門、政府和研究機構，主要目的是收集敏感文檔和地緣政治情報。但拉伊烏和同事們懷疑，這更可能是俄羅斯網絡犯罪分子或“間諜個體戶”為謀取商業利益而盜取情報的行為，而非由俄羅斯官方策動。表面上，經過這個事件，卡巴斯基團隊一勞永逸的邁過了“震網團伙”這道坎，別人也不會再為此事為難他們了。但這并不意味著所有人都不再關注震網。接下來的事實證明，震網的故事還有續篇，而且不乏精彩。（待續） 2012年11月，震網曝光距今已過兩年有余，毒區和火焰也已經是陳年舊事。突然有一天，賽門鐵克研究員偶然間發現了一個他們曾經朝思暮想卻未能得見的線索——出現在震網已知版本之前的一個早期版本文件。賽門鐵克公司有一個“定期整理[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序，它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")檔案庫以查漏補缺”的傳統。這一次，就在他們用震網特征碼進行搜索，看有沒有和它匹配的目標時，一個從未見過的代碼片段彈了出來。自從有人于2007年11月15日上報給VirusTotal之后，它就一直靜靜的呆在那里。這個證據充分表明，震網第一次發動攻擊的時間，要早于賽門鐵克之前的判斷。如前所述，他們一直在懷疑震網存在其他版本，因為他們于2009年和2010年發現的3個樣本的版本號分別是1.001、1.100和1.101。他們當時就猜測，可能存在一個在這3個版本之前的早期版本。現在，他們終于找到了——它就是震網0.5版。然而，他們找到與之相關的更多文件后，發現這并不是震網的某一個版本，而是一個含有完整“417攻擊代碼”的震網部件，而且毫發無損、功能完備。兩年前，他們在嘗試解開震網攻擊西門子S7-417型PLC之謎時，以失敗告終。因為在震網的后續版本中，417攻擊代碼既不完整、又不管用。當時，賽門鐵克的尼古拉斯·法里爾認為，攻擊者可能是因為等待某個來自目標的關鍵配置情報，而無法賦予它正常的攻擊能力。現如今真相大白，原來，417攻擊代碼早已編寫就緒，只是攻擊者改變了攻擊策略而已。對比發現，震網后續版本中同時包含315攻擊代碼和被剝奪功能的417攻擊代碼，而新發現的版本中只有417攻擊代碼，完全沒有315攻擊代碼存在的跡象。由此可知，一開始，攻擊者瞄準的是納坦茲的417型PLC，后來不知什么原因——也許是攻擊者沒能達到預期目的，也許是攻擊起效耗時過長——他們重新調整了策略，把攻擊的槍口轉向了315型PLC。現在，賽門鐵克團隊——除了以及跳槽去谷歌的法里爾——如愿拿到了震網的早期版本，終于可以確定417型PLC到底是什么角色了。經分析發現，這個版本的最終攻擊目標是用于控制六氟化鈾氣體出入納坦茲離心機和級聯系統的閥門。整個攻擊計劃可能是這樣的：攻擊代碼通過反復開關閥門，將離心機內部的壓力增大到正常水平的5倍。在這個壓力水平上，氣體會開始凝聚，破壞鈾濃縮進程，使得正在高速旋轉的離心機突然間失去平衡，倒向旁邊的離心機。但實際中，這個計劃可能沒有如期取得良好成效，因此，2009年他們決定改變策略，轉而攻擊能夠更直接破壞離心機的組件——變頻器。震網0.5版沒有設定自毀日期，本應在后續版本上線后繼續存在，但研究員卻從未在2010年發現的、感染震網后續版本的計算機上發現過它的蹤跡。據分析，它可能是被攻擊者清除了。震網后續版本進入計算機之后的第一件事，就是尋找早期版本并將其替換掉。因此，當2009年6月版震網上線后，震網0.5版就銷聲匿跡了。震網0.5版沒被發現，可能還有一個原因。與后續版本相比，攻擊者對它的控制更嚴格，只會感染少量目標。由于它沒有使用零日漏洞利用程序進行傳播，因此可行的傳播方式只有一種，就是感染西門子Step 7的項目文件。由于這些項目文件是開發人員在為西門子S7系列PLC編程時共享使用的，因此是將震網攻擊載荷送往目標PLC的理想載體。進一步推測，既然它只能通過Step 7項目文件進行傳播，那么攻擊者一定有通往納坦茲核心系統的內部門道。這一點，也是震網0.5版沒被人發現的一個重要原因。因此，震網0.5版的“首位感染者”可能是某個開發人員的計算機。而到了上線后續版本時，他們可能已經丟失了這個通往納坦茲內部的直接入口，只好通過加大震網傳播力度的手段，增加抵達最終目標的概率。不幸的是，新的策略無法首尾兼顧，一來震網強大的傳播能力讓染毒計算機數量暴漲，二來“首位感染者”位于納坦茲之外的多家公司，這使得震網的后續版本最終遭到了曝光。震網0.5版一旦上線，即可完全自主實施攻擊，攻擊者無須對其施加控制。但如果它發現自己所在的計算機接入互聯網，就會主動與4個指揮控制服務器中的其中一個進行聯系，并根據需要接受攻擊者發送的代碼升級包。攻擊者為它設定的聯絡終止日期是2009年1月11日，而那時攻擊者已經為下一場攻擊做好了準備。5個月后，2009年6月版震網上線，其中的驅動文件編譯日期為2009年1月1日。賽門鐵克研究員發現，震網0.5版提交至VirusTotal的時間是2007年，而且有些更早的日期也與之相關，那么，有必要對攻擊者設計震網的起始時間進行重新估算。經分析，震網的前期工作可能開始于2005年11月，用于震網0.5版的指揮控制服務器的域名就是那時注冊的。這些服務器中的代碼，后來又被用到了2009年和2010年版震網相關的指揮控制服務器（the todaysfutbol.com和mypremierfutbol.com）上，其編譯時間是2006年5月。那時，震網還沒上線，布什的幕僚也才剛剛琢磨著給他獻計，用于控制震網的指揮基礎設施就已經搭建完畢了。很可能這些服務器起先是用于跟“火焰、毒區或其他服務于此次攻擊的偵察工具”通信的，后來才用到了震網上。此外，這些較早的日期，還跟卡巴斯基研究員認定的火焰上線時點完全吻合。與這些日期遙相呼應的，還有一些伊朗核計劃政治斗爭形勢演化的關鍵時間節點。2005年8月，內賈德上任兩個月后，伊朗核問題的國際談判破裂，伊朗宣布退出之前簽署的“暫停核活動協議”。3個月后，攻擊者注冊了用于震網0.5版的指揮控制服務器（的域名）。從那時起，伊朗開始在試驗工廠中安裝離心機。到了2006年2月，服務器注冊3個月后，伊朗在試驗工廠的小型級聯系統中進行了首次鈾濃縮試車。但試車失敗了，50臺離心機發生了爆炸。這次爆炸有可能正是震網早期版本的作品。當時，伊朗當局將這起爆炸時間歸咎于來自土耳其的UPS，宣稱有人對UPS實施了暗中破壞，讓它在工作過程中制造了突發電涌。很快，伊朗從挫折中爬了起來。2006年5月，他們宣稱，使用試驗工廠中安裝的完整版離心機級聯系統，成功進行了鈾濃縮試車，并得到了純度3.5%的鈾產品。同時，他們還制定了在一個地下車間中安裝首批3000臺離心機的雄偉計劃。但直到2007年初，計劃才開始實施。同年11月，3000臺離心機安裝完畢。同月，震網首次露面，有人將震網0.5版提交至VirusTotal。隨著震網早期版本浮出水面，研究員們終于可以跟這場石破天驚的網絡攻擊行動做個了斷了。最后，他們親手繪制了一直以來孜孜以求的“攻擊全景圖”。他們之所以有機會南征北戰，得勝而還，卻又經歷了如此漫長的等待，皆因為一系列本可能不會發生的意外事件和磕磕絆絆。這個過程，值得回味。從震網利用零日漏洞四處蔓延，到由于一臺伊朗計算機反復重啟而被發現；從白俄羅斯研究員道行淺，搞不定復雜的震網，到賽門鐵克研究員費盡心機破解PLC攻擊代碼；從卡巴斯基從“清除者”中發現火焰，到在攻擊者不慎遺落的馬來西亞服務器上發現海量確鑿證據。在發現和破解震網和其他工具的過程中，攻擊方和破解方錯進錯出，謎底時隱時現，每一個故事都稱得上是一段傳奇。此刻，卡巴斯基和賽門鐵克驀然回首，想到昨天的自己投身破解和分析“震網團隊”系列武器的事業長達兩年，不禁感嘆：制作這些武器的技術水準和專業精神，的確令人高山仰止。同時，想到今天的自己如庖丁解牛般，這么快就徹底揭穿了潛行多年的網絡攻擊系列行動，心中五味雜陳。攻擊者早就料到，伊朗人憑自己的能力，根本不可能發現和破解他們的系列攻擊。但他們沒想到，全球網絡安全行業群策群力，用眾包的方法和群體的智慧，幫了伊朗人一個大忙。震網的出現，從根本上改變了網絡安全特別是網絡攻防領域的格局。面對具有國家背景的網絡武器，網絡安全研究員和逆向工程師們在不知不覺中被征召參戰，變成了抵御其攻擊的志愿軍。這種局面，讓他們陷入了某種與道德正義和國家安全有關的困境：到底是該維護計算機用戶的利益，還是充當情報機構和政府的幫手？震網的出現，不僅拉開了網絡空間軍事化的帷幕，而且開啟了病毒研究政治化的進程。 2012年，震網風波過后，錢哥如是說，“對我們來說，這是一個新的‘好人還是壞人’的問題，讓我們左右為難。”慶幸的是，他們所做的一切工作，完全沒有受到任何政治上的干涉或阻力，他也希望，未來永遠不會被迫面臨“客戶還是政府”的選擇。當然，他心里明白，這恐怕只是一廂情愿。 “聽起來可能有點虛偽，但我們的所作所為，都是為了幫助客戶，這沒有錯。”他說，“如果我們真的到了必須在客戶與政府之間做出選擇的地步，那將必定是一個無法面對的心碎時刻。我不知道該怎么做，真的，我不知道。”（待續）