大东话安全之手术刀行动

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、开场小剧场

小白：你看这个蛋，它又大又圆嘿~

大东：你看这漏洞，它又新又贼哟~

小白：切克闹！

二、病毒通缉令

小白：这颗蛋怎么了！蛋妈妈孵到一半撂挑子走了，竟有人辣手催蛋！暴殄天物！！真是捣蛋鬼，看吧现在坏了，都长毛，呃长脚了……

大东：（白眼）你这是又心疼你的食材了吧。

小白：还是大东东懂我，嘿嘿。好吧，这到底是呀。

大东：这张牌描述的是 Operation Cleaver，“手术刀行动”，是一个国家资助的黑客组织，使用 SQL 注入技术和利用微软漏洞，及雇佣第三方组织等方式攻击全球范围内的航空航天、能源行业和国防领域。

小白：嚯，厉害上天了。我倒想知道它是咋个上天的！

大东：得嘞，开侃~~

三、新型手术刀

小白：大东东，你看过海贼王么？

大东：海贼王，这是个啥东西，加勒比海盗之类的东西么？

小白：科科科科，终于轮到我给你科普啦~那可是我的童年记忆~~

大东：你的童年真是丰富多彩呢。

小白：漫画里我特别喜欢一个角色，他叫特拉法尔加·罗，是红心海贼团的船长，手术果实能力者，绰号“死亡外科医生”，其本人也是一名医生。

特拉法尔加·罗

大东：手术果实？

小白：这个果实可厉害了，可以创造一个全球体的空间，在空间内可以随意切割、交换、拼接人和物体甚至交换人的意识，但被切割者并不会死亡，甚至不会受伤。

大东：听起来很不科学啊。

小白：在动漫里我就是科学~赫赫赫赫~~

大东：那不如我来给你说一个手术刀的故事吧~

肆虐横行

大东：说到手术刀，你会想到什么？

小白：锋利！刀过不沾血~

大东：咳咳，夸张了啊。事情发生在2013年，美国官方发声谴责伊朗的黑客入侵美国海军的电脑。

小白：伊朗黑客？？被美国霸霸逮着了吧。

大东： 2014年底美国加利福尼亚州的安全公司 Cylance lnc.发布了一份长达86页的报告，该报告指出一个来自伊朗的黑客组织“手术刀”正在全球范围内攻击航空、能源以及国防领域的公司。

手术刀logo

小白：哇，真的假的？

大东：接着听。在2014年发现“手术刀”攻击美国海军之后，安全公司 Cylance lnc.称他们有证据证明同一个团队在过去的两年内也渗透了全球许多顶尖公司。

小白：事后诸葛啊，我也会！

大东：后续的 FBI 出的一份秘密报告中默认了安全公司 Cylance lnc.的报告内容，尽管伊朗官员否定了“手术刀”组织接受了政府的支持。

防不胜防

小白：“手术刀”这个名字还挺帅气的，为啥会叫这个名字？

大东：该黑客组织进行攻击时，使用的恶意软件中经常出现“cleaver”一词，该词就是中文“手术刀”的意思，所以使用这些恶意软件的黑客组织就被命名为了“手术刀”。

小白：还真是相当有特征啊~

大东：报告还指出，美国、以色列、中国、沙特阿拉伯、印度、德国、法国、英国等16个国家的50多个实体受到了这一组织的打击。

“手术刀”攻击的国家

小白：可是讲道理，就算是伊朗做的，你说他为啥干这些？

大东：你还记得“震网”事件么？该病毒是美国针对伊朗核设施而精心设计的，作为 APT 攻击目标非常明确而且相当谨慎低调，伊朗为此吃了不少亏。

小白：是啊，然而不是抓到了么。

大东：出来混迟早是要还的，所以坊间传言“手术刀”组织攻击的目的旨在对美国及其盟友进行报复，同时这些攻击作为一次警告，展示了快速发展的伊朗的黑客技能。

小白：听起来越来越像小学生打架了，你打我我就打你~~

以伊朗为核心的袭击的序列，左侧为攻击受害者，右侧为攻击发动者

大东：2012年“手术刀”对 RASGas 和沙特石油公司的攻击影响了超过30000台计算机终端设备，受感染公司花费了近千个小时才恢复。

小白：这么厉害，有点狠啊！

大东：2012年底到2013年初，该组织又使用 DDoS 形式对美国银行发起了攻击。

小白：DDoS 是啥？

大东：分布式拒绝服务， Distributed Denial of Service，指借助于网络技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动集中访问，从而成倍地提高拒绝服务攻击的威力。

DDoS 攻击

小白：呃……没听懂。

大东：打个比方，一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？

小白：打砸抢啊。

大东：这太暴力了，分分钟被抓起来。

小白：那你说用啥办法？

大东：恶霸们可以扮作普通客户一直拥挤在对手的商铺，赖着不走，使得真正的购物者无法进入，又或者恶霸总是和营业员有一搭没一搭地东扯西扯，让工作人员不能正常服务客户，除此之外，恶霸也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。

小白：原来是这样~~

大东：除了 DDos 攻击以外，该组织还会使用 SQL 注入等技术使用已知漏洞对被攻击组织实施入侵。

小白：这又是啥？

大东：SQL 注入攻击指的是通过构建特殊的输入作为参数传入 Web 应用程序，而这些输入大都是 SQL 语法里的一些组合，通过执行 SQL 语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统然后达成破坏效果。

安全槛

小白：好吧，那这种攻击有什么防范的方法啊？

大东：其实我们今天主要说到的黑客攻击方式有两种嘛，DDos 和 SQL 注入，对于前者的话呢，及时更新系统的补丁，然后关闭一些系统不必要的冗杂服务，设置好防火墙就可以比较好地预防。

小白：对于那种进了店不买东西的流氓就应该关在门外！

大东：而要防御 SQL 注入，网站应开启输入的合法性验证，数据检查应当在客户端和服务器端都执行，这样可以弥补客户端验证机制脆弱的安全性。

小白：不明觉厉！

四、小白内心说

小白：话说，我好想去逛商场的时候也会只看不买啊，之前说的那个恶意竞争的小故事是不是把我也一棍子打死了啊。

大东：你去商店的时候肯定不会刻意挤在那里赖着不走啊是不是。

小白：咦，有的时候还真说不定啊，比方说我好喜欢去苹果的专营店然后占着一台苹果笔记本一站就是好几个小时。

大东：好了你不要说了，苹果给了你多少钱，我三星给你双倍。

小白：不过这么一说就很好理解了呢，对于 DDoS 攻击啊，话说东哥你说第一遍的时候那专业术语真是听不懂，不过 DDoS 确实相当有破坏力呢，就说混混们霸了店铺一天，店长啥事也干不了。

大东：这个时候就要打110了，毕竟这样严重影响了店铺的正常运营啊。

小白：我错了，我以后再也不去店里站岗了。

五、话说漫威

小白：今天我讲了一个海贼角色，大东东要讲啥呢~

大东：被你小子抢先了。

小白：嘿嘿~

大东：这个X-23不知道你有没有听过，她是金刚狼的第23号女性复制实验品。她的体内有着金刚狼的基因组，被当成一个杀手机器来看待，手能弹出两块刀片，拥有快速的恢复能力，有极高的体能、速度、力量和反应。

小白：金刚狼的女性翻版诶~

大东：看到 X-23使出她手上的两块刀片，总觉得她更适合做一名拿手术刀的医生。不过这手术刀就不是今天所讲的“手术刀”了。

小白：是的话就太可怕了~网络不平静呐~~

来源：中国科学院计算技术研究所