| 摘要:近来,专门利用热门软件漏洞来攻击单一特定对象的恶意软件攻击越来越普遍。在颇为知名的“Aurora”恶意软件攻击Google以及至少其他二十多家公司之前,锁定单一目标的恶意软件攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽然美国政府与相关网络遭到此类攻击已不是新闻,但越来越多其他国家的政府和民间机构也面临了同样的威胁。 |
是技术高超还是瞎猫碰上死耗子?
这类攻击经常被形容为技术高超或专门针对被害人的攻击,不论是哪一种说法,基本上就是表示攻击得逞。这类事后的描述经常暗指攻击者完全掌握了受害者的漏洞,在某些情况下,甚至完全符合他们的期望。我们很难根据那些模糊的公开信息来判断这些说法是否属实。所以,本文无意驳斥这些说法,只是希望强调,攻击者之所以能够锁定单一目标、具备精密的攻击技巧,全靠日积月累的知识,而非高超的工具和方法。
虽然大多数的因特网使用者可能一辈子也不会成为黑客锁定的单一目标,反倒比较容易成为一般威胁的受害者,例如:假防病毒软件Fake AV与网络银行木马程序(Zeus、SpyEye),但专门从事单一目标攻击的恶意软件样本数量却从未减少。不过,实际上,攻击目标的针对性也有很大的变异。有些恶意攻击者喜欢制造一些“噪声”。他们会四处散发恶意文件(通常会利用某些主题或问题来执行社交工程技巧),但这些文件的收件者(也就是潜在的目标)为数颇多。这些当然并未锁定某位个人或某个机构。但是,这类攻击很可能是针对特定目标的后续攻击前兆。
歹徒先做好功课
最近我从contagiodump.blogspot.com所收到的一个样本就展示了这类攻击“噪声”所能达到的侦查效果。此恶意软件样本是一个专门利用Microsoft HTML说明档漏洞的.CHM档案。该程序就是趋势科技所侦测到的CHM_CODEBASE.AG,它会在系统植入BKDR_SALITY.A后门程序,接着制造一些网络流量,连上知名BKDR_SALITY.A服务器。
此外,该恶意软件还会产生一些网络联机连上win{BLOCKED}.dyndns.info。该服务器上的网页含有一段JavaScript程序代码会使用res://通讯协议来列出受害计算机上所安装的特定软件,然后将列表传送至win{BLOCKED}.dyndns.info。这种藉由res://通讯协议来找出系统安装软件的方法,早在2007年就由Billy Rios所发表。
根据Rios解释,Internet Explorer从4.0版开始即内建res://通讯协议,可用于侦测远程计算机上是否安装了特定软件,因此攻击者只要引诱使用者以浏览器连上某个网页即可。如同Rios指出,这项技巧可用于找出特定应用程序,进而找出适用的漏洞攻击技巧。此外,还可侦测系统是否有某个磁盘驱动器存在。这么多年之后,这项技巧依然有效。
在win{BLOCKED}.dyndns.info网页上JavaScript程序代码可广泛侦测下列软件:
Microsoft Office(Word和Outlook),从97至2010版
Adobe Reader(7.0至9.3)
Adobe Flash
Java
实时通讯程序(Skype、Yahoo! Messenger、MSN、Google Talk及QQ)
程序开发工具与美工软件(Delphi、.NET、Photoshop及Dreamweaver)
此外,它还会检查系统上的档案分享软件、网页浏览器、远程管理工具、电子邮件客户程序、下载管理员以及媒体播放器。信息安全软件也在其侦测之列,包括:市场上主要的防病毒软件与防火墙产品,还有PGP加密软件。此外,该恶意软件还会检查虚拟机软件,并且侦测自己是否在VMware虚拟机内执行。最后,它还会检查Microsoft更新(KB842773至KB981793)。
老实说,这个恶意软件样本有点奇怪,因为它会在入侵用户的计算机之后才执行上述检查。如果是用来侦查,不是应该在攻击之前就执行吗?一种可能的解释是,攻击者刻意送出一些攻击“噪声”,希望系统管理员在清除这些噪声之后就忘了这件事。但此时攻击者已经搜集到企业的计算机配备数据。因此,就知道该公司偏好的防病毒软件、特定软件版本以及其他可用信息,接下来就很容易针对该目标发动进一步攻击。当攻击者准备就绪时,就会发动一次攻击来窃取想要的数据。
此时,攻击者已经知道某个目标有哪些软件漏洞可以利用。想当然尔,这次攻击又会被形容为技术高超或专门针对被害人的攻击,然而它之所以能够得逞,完全是因为先前已掌握到必要的资料。
责任编辑:Lily
评论表单加载中...
