"对任意网站挂马"中国互联网安全大会猛料不断

"对任意网站挂马"中国互联网安全大会猛料不断。

在最近由360公司主办的中国互联网安全大会“企业安全高峰论坛”上，国内知名安全专家Tombkeeper(于旸)发表了题为“APT防御——未知攻，焉知防”的主题演讲，并首次透露了一种“可对任意网站挂马”的攻击方式。

Tombkeeper(于旸)是XFocus Team成员，现任绿盟科技研究院高级安全研究员，从事信息安全技术研究超过10年，主要研究方向有：APT/0-Day攻击检测、漏洞利用技术、漏洞挖掘和分析技术、移动安全等，在业界以研究领域广、研究深入著称。

Tombkeeper曾在多个国际知名安全会议上发表演讲，近期在xcon2013安全会议他上公布了一种“不依赖于ROP和JIT的漏洞利用方法”，适用于绝大多数Use After Free、Vtable Overflow类漏洞，引起安全业界很大反响。

在此次由360主办的中国互联网安全大会上，Tombkeeper再爆猛料，他首次披露了一种“可对任意网站挂马”的攻击方式：“大量城市的网络运营商都在使用一种‘缓存加速解决方案’，大概机制是，首先终端用户从某个网站下载一个软件，运营商的系统会检测，当前下载的链接是否是被别人下载过的，已经下载过的文件会从运营商的缓存池里直接反馈给用户，如果是第一次下载这个文件会被缓存在池里，运营商会从这个池子里的数据交给用户。”

Tombkeeper表示：“缓存服务器非常重要，如果缓存服务器被投毒，那么反馈给用户的就是攻击者构造的恶意代码。而且这个攻击可以针对世界上任何一个网站，比如从微软下补丁，我可以让微软补丁链接是我的数据。世界任何一家公司都没有办法抵抗，因为根本没有碰你的服务器。很多常用软件都有自动升级的机制，很多自动升级包是不加签名的，所以说是一个很大的问题”。

为了防止该攻击方法被滥用，Tombkeeper没有透露具体的攻击细节。他提醒说：“这个问题建议在运营商工作的朋友们多留意。如果你有朋友在运营商工作，或干脆是类似系统的开发者，可以提醒他们一下。基础设施安全关系到我们每个人。”

关于2013互联网安全大会

“2013年中国互联网安全大会”由中国互联网协会和国家互联网应急中心指导、360公司主办，是国内有史以来规模最大，最专业的安全行业盛会。本次大会吸引了美国顶尖网络安全专家詹姆斯·刘易斯、AV-Test反病毒测试公司CEO安德烈亚斯·马克思、国内众多知名白帽等国内外顶尖的互联网信息安全专家参与，更获得网络安全应急技术国家工程实验室、OWASP、Gartner等知名机构的支持。