山雨欲来 “互联网军火库”初露锋芒

今年7月初，意大利软件开发商Hacking Team文件服务器遭黑客攻击，导致大规模数据泄漏，其中包括大量主流软件未公开高危漏洞，以及已工程化的漏洞利用工具源代码和技术文档，影响范围覆盖大部分计算机（含智能手机）。由于相关数据量高达400GB，部分监控工具买家是某些重要国家的安全部门，当时被戏称为“互联网军火库”，各路黑客和安全研究人员几乎人手一份，有关厂商则忙于自查和修复漏洞。

然而，黑客有利器，谁也挡不住。近日，腾讯反病毒实验室拦截到一个源自上述“互联网军火库”的木马程序，该木马利用FlashPlayer插件漏洞，通过网页Flash广告挂马方式感染用户电脑，自动静默下载和安装软件、阻止重要的系统管理和安全软件运行、删除其它流氓软件入口等，其中部分被静默安装的软件具有向连接到电脑的Android手机静默安装app的能力，危害极大。经分析和追踪，发现木马大量存在于博彩类、色情类、外挂私服类和中小型下载网站，以及部分流氓软件弹窗中，影响广泛，扩散迅速，截至昨天已突破百万用户量，安全形势告急。

图1 CVE-2015-5122漏洞相关木马扩散趋势图

图2 木马静默推广软件列表，含部分流氓软件

腾讯反病毒实验室指出，其所利用的FlashPlayer漏洞编号为CVE-2015-5122，允许黑客在浏览器进程中执行ShellCode下载和执行指定的恶意程序，影响Windows、Mac和Linux平台上的IE、Chrome浏览器等。反编译挂马Flash文件发现，木马程序基于Hacking Team泄漏的漏洞利用工具源代码修改而来，并使用DoSWF进行加密和混淆，以增加安全研究人员分析难度。同时，木马更新节奏很快，平均每2~3小时出现一个新变种，以逃避安全软件监测和广度监控。

据了解，FlashPlayer已经修复编号为CVE-2015-5122的漏洞，但腾讯反病毒实验室监测数据显示，国内仍有大量电脑的FlashPlayer未升级到最新版本，这些未升级电脑门户洞开，黑客长驱直入。安全专家提示，电脑的操作系统、浏览器及其常用插件的安全性是网络安全基石，接入互联网的电脑必须启用自动更新，及时修复安全漏洞，以有效防御安全威胁。

Hacking Team 泄露的“互联网军火库”显著降低了黑客攻击门槛，黑色产业链的犯罪能力得以大幅升级，对互联网安全构成严重威胁，如今借FlashPlayer插件漏洞挂马，初露锋芒、小试牛刀，已然势如破竹。除了被动防御，我们还能做些什么？