poison是病毒吗（大东话安全之毒）

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、谶曰

某戒毒所员工：毒品真的可以控制一个人啊。

东哥：今天我们介绍的 Poison 病毒，可以控制一堆人。

小白：远离这些奇奇怪怪的东西，珍爱生命!

二、病毒通缉令

小白：这只从屏幕爬出来的怪物长了两张嘴，嘴里还藏着喷毒液的管子，嗯，我估计，这张牌攻击值要爆表。

大东：这张牌描述的是 Poison，该家族是由后门生成工具 Poison Ivy 生成的后门类木马程序。它通过注入到其他进程中来隐藏自身，允许未经授权的访问和控制受害系统。

小白：呃，好像很复杂的样子。

大东：别急，咱们慢慢说~

三、大话始末

小白：大东，你说这个 Poison 到底是什么来头？

大东：说来话长了，那是2011年11月2日，一个月黑风高的夜晚，一位名为 Poison Ivy 的“大盗”横空出世，他可以潜入任何一台计算机而不被发现，“杀人”于无形，盗于无形，人称“毒”圣。

这也许就是 Poison ivy 大盗的真身

之后，他隐居山林，培养了无数“弟子”，于是世界上就横空出世了一个 Poison 的家族，拜古希腊的特洛伊木马为祖师爷，其弟子都深得 Poison Ivy 的真传，个个武艺高强，叫人头疼！

FreeBuf 曝出 Poison 又重出江湖

小白：这么厉害！那现在还有传人么？

大东：你看，他的弟子之一 PoisonTAP 现在还在作乱，而且雇佣费极低。

小白：多少？

大东：“PoisonTap”使用的硬件是仅售价5美元的 Raspberry Pi Zero，代码则是 Samy Kamkar 公开发布的 Node.js 代码。

小白：真的好便宜，危害却这么大！他是如何做到的？

大东：一旦攻击者通过 USB 将此黑客工具连接到 Windows 或 Mac 电脑，它就开始加载入侵电脑所需的漏洞利用，即使电脑锁屏，也能攻破电脑。

小白：电脑锁屏也可以……

大东：PoisonTap 利用电脑和网络机制的现有信任产生级联效应，包括 USB、DHCP、DNS 和 HTTP，从而产生信息渗漏、网络访问和安装半永久式后门的滚雪球效应。

小白：什么意思啊？小白表示听不懂，求大佬解释。

大东：简单来说，一台主机一旦识别出该工具，就会以某种方式，将这个工具当成自己人，把它变成自己的网络中的一部分。当受害电脑发送路由请求，主机就会直接转到该工具，发送给攻击者Poison。所以整个网段都在 Poison 的控制之中，你发送的所有消息都会被 Poison 过目！

小白：不是吧！！

大东：利用这种欺骗方式，该黑客工具能从受害者的浏览器盗取100万网站的通信信息。即使浏览器在后台运行，PoisonTap 也能拦截请求进行攻击。

Poison 使用的工具，看起来真的很简单

小白：惊出一身冷汗！

大东：别急，还有呢！攻击者还能使用该设备在几十万域名上安装后门，并远程控制受害者的“大门（路由器）”。PoisonTap 还能绕过 HTTPS 专车的保护和许多其它安全机制，包括同源策略（Same Origin Policy, SOP）、HttpOnly cookie、X-Frame-Options HTTP 响应头、DNS pinning 和跨源资源共享（Cross-Origin Resource Sharing，CORS）等保镖的保护。一旦攻破了电脑并创建了后门，攻击者就能控制目标，即使该设备不插电同样奏效。

小白：那他做过什么大案子么？

大东：当然，赛门铁克大侠表示，至少有48家公司遭到相同的网络攻击，这些公司的电脑感染了特洛伊木马病毒类型的恶意程序 Poison Ivy 之后会被窃取资讯，例如设计文件、制造过程中的细节等。受害者主要位于美国和英国境内，包括29家化学公司，其中有部份业者研发军车使用的新材料，包括了财富杂志(Fortune)100强、研发化合物与新材料的企业，以及协助生产这些工业基础设施的业者。显然，这次网络攻击属于工业间谍活动，目的是搜集知识产权，享有竞争优势。

小白：我的天！那犯罪分子被抓到了么？

大东：当时赛门铁克已经追踪到美国境内的一个电脑系统，而这个系统是一名20多岁男子所有。研究人员根据直译，为这名男子取了个假名“隐蔽的树丛(Covert Grove)”，但仍无法确认“隐蔽的树丛”是唯一的攻击者，还是扮演直接或间接的角色，也无法确定他是否是代表他人发动网络攻击。

多家化学公司的信息被 Poison 窃取

小白：这么厉害，赛门铁壳大捕快都抓不到！那我们怎么预防被攻击啊？

大东：严加防范！换一个强力的“锁（密钥）”，最好在家里请一个保镖，比如360大侠、赛门铁克大侠、卡巴斯基、金山大侠等，“外出（上网）”的时候尽量不要到不被官方信任的人家里去，尽量做 HTTPS 专车，这种地方很容易隐藏着 Poison 家族的人。

小白：赶紧回家找大侠去！

四、小白内心说

小白：大东，你还记得哈利波特小说里的那件隐形斗篷吗？

大东：记得呀，哈利的父亲留给他的那件。

小白：没有错。Poison 像是拥有一件隐形斗篷，将自己隐身起来。

隐形斗篷

大东：比喻得不错。哈利就是凭借这件隐形斗篷在霍格沃兹学校里到处游荡而不被发现的哟，因此知道了很多秘密呢。

小白：Poison 就用其他程序当自己的隐形斗篷，将自己隐藏起来，伺机行动。

大东：没错没错。

小白：拥有了隐形斗篷的 Poison 岂不是难以被发现？

大东：光隐藏可远远不够，被动的措施只能勉强将我们从被动的受攻击情形中解救出来。

小白：可还没受到病毒攻击，我们怎么知道病毒会从哪儿来呢？

大东：这里我要提出一个病毒攻击预防的新理念——脆弱性分析，通过对目标系统进行全方位分析和检测，找到系统中隐藏的容易受攻击的潜在漏洞点，在安全事件发生之前，就将脆弱点找出并处理。

小白：哇，这样系统就不用时刻担惊受怕病毒找上门来了，就算找上来，咱们也早就把大门给关好啦～

大东：脆弱性分析依赖于大量对漏洞挖据分析过程的自我训练和学习，代替研究员完成重复性工作，能全自动化对目标完成分析，并输出脆弱性分析报告。小白如果感兴趣，可以关注我后续发布的消息～

小白：大东东厉害了！什么时候也给我的系统检测检测吧～

五、话说漫威

大东：你知道隐形女苏珊·斯通吗？

小白：我……

大东：隐形女在一次太空任务中被宇宙射线辐射后，身体结构发生改变，获得了可以隐形和制造防护力场的能力，成为了神奇四侠的成员之一。

小白：哇，隐形技能我也想要！这样我做什么都不会被发现了~

大东：以目前的技术，在现实的空间中还不能实现，但是在网络空间中，它就是 Poison。

小白：通过注入到其他进程中来隐藏自身，允许未经授权的访问和控制受害系统。厉害的隐形！

大东：不错，挺有长进啊~

隐形女

,