【PConline 资讯】3月20日韩国发生了大规模网络攻击事件。此次攻击带有同时多发的性质,因此最合理的解释就是使用恶意软件的网络恐怖活动。
笔者推测,此次事件的起爆剂是韩国存在的非正版Windows。下面就来解释一下为何做如此判断。
首先,笔者想说一下2003年流行的SQL Server 2000感染的SQL Slammer病毒。当时,与美国一样,该病毒在韩国也制造了很大混乱,导致网络一时无法使用。其重要原因是,韩国有大量盗版Windows,有很多服务器未得以合理运用并打上补丁,导致病毒感染在韩国迅速扩大,最终造成韩国国内的互联网陷入瘫痪。
从这一事件中反省过来的韩国此后开始推进普及正版Windows。事实上,通过这一手段,韩国再未轻易发生过同类事件。
目前或尚存非正版授权的Windows服务器
但是,这最多只是到了客户端的层级,在被称为Windows Server Update Services(WSUS)的公司内部的补丁管理服务器层级上,很可能还存在着非正版Windows的情况。这些非正版的WSUS不能按照正版的流程下载安全补丁。
当微软发布安全补丁时,各企业内部的WSUS服务器就会将自己保存的列表与微软提供的列表进行对照,以SSL加密的形式下载应下载文件的一览表。这时,在实际下载开始前,WSUS系统会通过检查来确认是否为正版。如果查出是非正版的WSUS服务器,就只能获得应下载文件的列表,而不会下载补丁本身。
由于这些WSUS是由非正版的Windows构筑的,因此实际上会通过与微软毫无关系的网站下载与微软提供的补丁基本相同的数据包。不过,这些网站并不是微软的管理对象,因此发布的补丁中就会掺有病毒。微软发布的安全补丁往往被认为其本身是用SSL加过密的,但其实只是通信路径做了SSL加密。实际上,文件是通过Akamai的网络提供的。
因此,运用非正版WSUS的管理者及企业很可能不会注意到问题(深信是正版Windows)而继续使用。这样,非微软提供的安全补丁就会进入WSUS,正版的客户端Windows在定期升级时也会用这些安全补丁来更新。
笔者以研究为目的安装了从中国购买的盗版Windows XP,对其Windows Update机制进行了调查。结果发现了与上述情况十分相似的结果(不同的是客户端直接去获取文件)。调查显示,盗版系统在执行Windows Update时,虽然也会向微软征询下载列表,但实际的补丁文件却是从非正规的网站上下载来的。对下载的文件实施分析后证实,其中除了正常的补丁之外,还植入了多个病毒。从这些情况来看,韩国发生的网络恐怖活动估计也存在着同样的情况。
在此次攻击事件中,向非正版WSUS提供信息的服务器只有接收到来自目标企业的访问时才会发生下载行为,这表明很可能是事先植入了目标型病毒。因此笔者推测,这些目标型病毒是在企业管理者深信WSUS管理的情况下误使其进入客户端Windows的,随后病毒便于某天(3月20日)发动了破坏主引导区(MBR)的行动。
