Google在1月12日主动透过博客揭露该公司受到来自中国的攻击，几位人权运动者的Gmail帐号被入侵。后来又传出北京外国记者的Gmail信箱也被黑的消息 。新闻事件愈滚愈大，各种事件原委的推测纷纷出笼，甚至说Google中国员工可能有内贼 。本着媒体良性的心态说，这里面忽悠出来的水分偏多，但是就攻击事件本身来说，还是不得不提一下的。

　　根据独立研究机构的推测，目前至少有 34 家公司已经遭到这项”极精密的锁定目标攻击”。这项攻击呼应了我们先前的预测，那就是全球性的攻击正在势微当中，反倒是特定人口族群才是线上攻击最新锁定的对象。

　　后门程序一旦执行，就会从被感染的系统上窃取消息

　　这项攻击所安装的后门程序一旦执行，就会从被感染的系统上窃取消息。搜集到的相关资料，会传送至远端的黑客，因此可能用于其它后续的恶意活动。

　　根据观察，这项攻击运用了多重管道。在某些案例中，使用者会收到含有恶意附件文件的电子邮件，其目的是要引诱使用者下载附件文件。不过，最值得注意的是，此攻击利用了一个先前所有已知 Internet Explorer 浏览器版本 （除 5.01 版之外） 都不曾发现的零时差攻击漏洞，让黑客能在感染的系统上安装一个后门木马程序。Microsoft 也在最近的声明中证实了 Google 和其他企业遭受的攻击的确用到了这项漏洞。为了解决此一问题，他们建议客户在 Windows Vista 上的 IE 7 启用”受保护模式”并且启用系统的”资料执行防止”（DEP） 功能。除此之外，该项攻击也用到了 Adobe Reader 与 Acrobat 的漏洞。

　　记者 通过测试机构TrendLabs 经过进一步分析之后发现，这些锁定目标的攻击运用了好几种管道。在某些案例中，使用者会收到含有恶意附件文件的电子邮件，其目的是要引诱使用者下载附件文件；而其他案例则是利用 Adobe Reader 与 Acrobat 不久前才修补的漏洞 （CVE-2009-4324） 在受害的系统中安装恶意程序。针对上述两项攻击漏洞，记者 DeepSecurity 都能提供安全防护。采用 OfficeScan 并搭配 Intrusion Defense Firewall 外挂套件的记者 用户只要更新至最新的 IDF 过滤规则 （IDF10003） 就能防止上述漏洞攻击。

　　五只木马遭锁定

　　最值得注意的是，此攻击利用了一个先前所有已知 Internet Explorer 浏览器版本 （除 5.01 版之外） 都不曾发现的漏洞 （CVE-2010-0249）。Microsoft 在最近的安全性摘要报告中证实了 Google 与其他企业所遭受的攻击确实用到了这项漏洞，并且提出了几个因应措施来降低此问题对 IE 用户的冲击。

　　记者已侦测出好几个与该项攻击相关的恶意文件：

　　TROJ_HYDRAQ.A

　　TROJ_AGENT.PIDG

　　TROJ_DLOAD.COB

　　TROJ_COSSTA.DV

　　TROJ_PIDIEF.SHK

　　专家忧心由于该漏洞影响多个IE版本，且攻击Google的程序代码曝光，很可能在微软修复该漏洞之前，爆发大规模网路攻击。相关应变措施也开始出招，甚至出现法、德政府呼吁民众勿用 IE ，ITIC分析师迪迪欧（Laura DiDio）发人深省的说，”如果Google会被入侵，任何人都无法幸免。”

　　根据华尔街日报的这篇报导《White House, Beijing Joust Over Censorship 》指出国内两大知名集团是甚至被黑客当作攻击跳板。美国国土安全顾问委员会成员、世界黑客年会Black Hat创办人摩斯（Jeff Moss）说：”安全部门吵着要更多防护措施，企业主总会质疑其必要性。Google揭露这些攻击事件，给争取安全防护经费的人强有力的理由。”这可能是对 IT 管理者少数比较正面的消息。

　　每年企业界动辄投资上千万防毒防黑，但企业防御失效的另一个容易被忽略的问题是：来自合法使用系统者的内部滥用，或因为社交工程 （ Social Engineering ） 手法，点选利用 IE 漏洞攻击的恶意连结或误入钓鱼网站陷阱，而被植入木马等恶意程序。然后，透过位于台湾的C&C将窃取的资料上传到黑客指定的服务器。

　　在漏洞攻击愈来愈快速的今日，有可能因为一个内部未能即时修补漏洞的电脑而瘫痪几千万资安设备。谁能及时告诉管理者网路未爆弹在哪里并给予拆除？

　　如何减轻零时差攻击风险？

　　病毒样本蒐集不易，加上木马、后门程序的运作具隐匿性，且攻击目标有针对性，而Rootkit隐形技术难以察觉及DLL Injection的侦测困难。有生产厂房的管理者在安装修正程序时，为避免上hotfix 问题更多，引起瞬断（一秒瞬断，可能引发好几千万损失）得分时派送、逐步更新，因而形成安全上的空窗期。

　　更让管理者头痛的是要是在厂商发布修补程序之后，又出现了另一个零时差攻击呢。？

　　接下来需要做什麽？

　　增强防御能力

　　尽速更新 Patch & Hotfix.

　　更即时的更新病毒代码及扫毒引擎。

　　使用云端技术以达到即时更新

　　加强 Email true file type 的侦测

　　加强 HTTP true file type 的下载侦测

　　了解网路内部真正存在的漏洞及隐患，并提出解决方案

　　以下是记者 即将发表的Threat Discovery Appliance-TDA，所提出解决安全空窗期的方案：

　　探勘现况

　　侦测内部网路层至应用层的恶意活动。

　　透过网路封包探勘解析找出可疑活动

　　侦测向外传送机密资料或接收远端遥控指令的僵屍电脑。

　　加强对于未知病毒的侦测能力

　　发掘影响营运的网路应用程序及服务。

　　针对自身网站程序代码的检查

　　建立资料外泄的防护（tyrael）