解密:锁定单一对象的恶意攻击

日期: 2011-04-26 翻译:tyrael 来源:TechTarget中国 英文

  近来,专门利用热门软件漏洞来攻击单一特定对象的恶意程序攻击越来越普遍。在颇为知名的“Aurora”恶意程序攻击Google以及至少其他二十多家公司之前,锁定单一目标的恶意程序攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽然美国政府与相关网络遭到此类攻击已不是新闻,但越来越多其他国家的政府和民间机构也面临了同样的威胁。

  今年稍早,加拿大、南韩和法国政府一些敏感的网络都曾发生严重的安全事件。最近,欧盟执行委员会(European Commission)与欧盟对外事务部(European External Action Service)也都遭到入侵。此外,信息安全厂商RSA与Comodo也都坦承发生安全事件,其中,至少RSA的案例看来就是一起锁定单一目标的恶意程序攻击。

  是技术高超还是“瞎猫碰上死耗子?”

  这类攻击经常被形容为技术高超或专门针对被害人的攻击,不论是哪一种说法,基本上就是表示攻击得逞。这类事后的描述经常暗指攻击者完全掌握了受害者的漏洞,在某些情况下,甚至完全符合他们的期望。我们很难根据那些模糊的公开信息来判断这些说法是否属实。所以,本文无意驳斥这些说法,只是希望强调,攻击者之所以能够锁定单一目标、具备精密的攻击技巧,全靠日积月累的知识,而非高超的工具和方法。

  虽然大多数的互联网使用者可能一辈子也不会成为黑客锁定的单一目标,反倒比较容易成为一般威胁的受害者,例如:假杀毒软件Fake AV与网络银行木马程序(Zeus、SpyEye),但专门从事单一目标攻击的恶意程序样本数量却从未减少。不过,实际上,攻击目标的针对性也有很大的变异。有些恶意攻击者喜欢制造一些“杂论”。他们会四处散发恶意文件 (通常会利用某些主题或问题来执行社交工程技巧),但这些文件的收件者 (也就是潜在的目标) 为数颇多。这些当然并未锁定某位个人或某个机构。但是,这类攻击很可能是针对特定目标的后续攻击前兆。

  犯罪份子预先做好功课

  最近我从contagiodump.blogspot.com所收到的一个样本就展示了这类攻击所能达到的侦查效果。此恶意程序样本是一个专门利用Microsoft HTML说明文件漏洞的 .CHM 文件夹。它会在系统植入BKDR_SALITY.A后门程序,接着制造一些网络流量,连上知名BKDR_SALITY.A服务器。

  此外,该恶意程序还会产生一些网络连线连上win{BLOCKED}.dyndns.info。该服务器上的网页含有一段JavaScript程序代码会使用res://通讯协定来列出受害电脑上所安装的特定软件,然后将清单传送至win{BLOCKED}.dyndns.info。这种藉由res://通讯协定来找出系统安装软件的方法,早在2007年就由Billy Rios所发表。

  根据Rios解释,Internet Explorer从4.0版开始即内建res://通讯协定,可用于侦测远端电脑上是否安装了特定软件,因此攻击者只要引诱使用者以浏览器连上某个网页即可。如同Rios指出,这项技巧可用于找出特定应用程序,进而找出适用的漏洞攻击技巧。此外,还可侦测系统是否有某个磁盘机存在。这么多年之后,这项技巧依然有效。

  在win{BLOCKED}.dyndns.info网页上JavaScript程序代码可广泛侦测下列软件:

  •   Microsoft Office (Word和Outlook),从97至2010版
  •   Adobe Reader (7.0至9.3)
  •   Adobe Flash
  •   Java
  •   即时通讯程序(Skype、Yahoo! Messenger、 MSN、Google Talk及QQ)
  •   程序开发工具与美工软件(Delphi、.NET、Photoshop及Dreamweaver)

  此外,它还会检查系统上的文件夹分享软件、网页浏览器、远端系统管理工具、电子邮件用户端、下载管理员以及媒体播放器。信息安全软件也在其侦测之列,包括:市场上主要的杀毒软件与防火墙产品,还有 PGP 加密软件。此外,该恶意程序还会检查虚拟机软件,并且侦测自己是否在 VMware 虚拟机内执行。最后,它还会检查Microsoft更新(KB842773至KB981793)。

  老实说,这个恶意程序样本有点奇怪,因为它会在入侵使用者的电脑之后才执行上述检查。如果是用来侦查,不是应该在攻击之前就执行吗?一种可能的解释是,攻击者刻意送出一些攻击“杂论”,希望系统管理员在清除这些杂讯之后就忘了这件事。但此时攻击者已经收集到企业的电脑配备资料。因此,就知道该公司偏好的杀毒软件、特定软件版本以及其他可用信息,接下来就很容易针对该目标发动进一步攻击。当攻击者准备就绪时,就会发动一次攻击来窃取想要的资料。

  此时,攻击者已经知道某个目标有哪些软件漏洞可以利用。想当然尔,这次攻击又会被形容为技术高超或专门针对被害人的攻击,然而它之所以能够得逞,完全是因为先前已掌握到必要的资料。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

tyrael
tyrael

相关推荐