您现在的位置是:首页 > IT基础架构 > 网络与安全 >

锁定单一对象的恶意攻击有多高超?

2011-04-28 00:24:00作者: 来源:

摘要近来,专门利用热门软件漏洞来攻击单一特定对象的恶意程序攻击越来越普遍。在颇为知名的“Aurora”恶意程序攻击 Google 以及至少其他二十多家公司之前,锁定单一目标的恶意程序攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽...

近来,专门利用热门软件漏洞来攻击单一特定对象的恶意程序攻击越来越普遍。在颇为知名的“Aurora”恶意程序攻击 Google 以及至少其他二十多家公司之前,锁定单一目标的恶意程序攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽然美国政府与相关网络遭到此类攻击已不是新闻,但越来越多其他国家的政府和民间机构也面临了同样的威胁。

  今年稍早,加拿大、南韩和法国政府一些敏感的网络都曾发生严重的安全事件。最近,欧盟执行委员会 (European Commission) 与欧盟对外事务部 (European External Action Service) 也都遭到入侵。此外,信息安全厂商 RSA 与 Comodo 也都坦承发生安全事件,其中,至少 RSA 的案例看来就是一起锁定单一目标的恶意程序攻击。

  是技术高超还是“瞎猫碰上死耗子?”

  这类攻击经常被形容为技术高超或专门针对被害人的攻击,不论是哪一种说法,基本上就是表示攻击得逞。这类事后的描述经常暗指攻击者完全掌握了受害者的漏洞,在某些情况下,甚至完全符合他们的期望。我们很难根据那些模糊的公开信息来判断这些说法是否属实。所以,本文无意驳斥这些说法,只是希望强调,攻击者之所以能够锁定单一目标、具备精密的攻击技巧,全靠日积月累的知识,而非高超的工具和方法。

  虽然大多数的互联网使用者可能一辈子也不会成为黑客锁定的单一目标,反倒比较容易成为一般威胁的受害者,例如:假杀毒软件 Fake AV 与网络银行木马程序 (Zeus、SpyEye),但专门从事单一目标攻击的恶意程序样本数量却从未减少。不过,实际上,攻击目标的针对性也有很大的变异。有些恶意攻击者喜欢制造一些“杂论”。他们会四处散发恶意文件 (通常会利用某些主题或问题来执行社交工程技巧),但这些文件的收件者 (也就是潜在的目标) 为数颇多。这些当然并未锁定某位个人或某个机构。但是,这类攻击很可能是针对特定目标的后续攻击前兆。

  犯罪份子预先做好功课

  最近我从 contagiodump.blogspot.com 所收到的一个样本就展示了这类攻击所能达到的侦查效果。此恶意程序样本是一个专门利用 Microsoft HTML 说明文件漏洞的 .CHM 文件夹。它会在系统植入 BKDR_SALITY.A 后门程序,接着制造一些网络流量,连上知名 BKDR_SALITY.A 服务器。

  此外,该恶意程序还会产生一些网络连线连上 win{BLOCKED}.dyndns.info。该服务器上的网页含有一段 JavaScript 程序代码会使用 res:// 通讯协定来列出受害电脑上所安装的特定软件,然后将清单传送至 win{BLOCKED}.dyndns.info。这种藉由 res:// 通讯协定来找出系统安装软件的方法,早在 2007 年就由 Billy Rios 所发表。

根据 Rios 解释,Internet Explorer 从 4.0 版开始即内建 res:// 通讯协定,可用于侦测远端电脑上是否安装了特定软件,因此攻击者只要引诱使用者以浏览器连上某个网页即可。如同 Rios 指出,这项技巧可用于找出特定应用程序,进而找出适用的漏洞攻击技巧。此外,还可侦测系统是否有某个磁盘机存在。这么多年之后,这项技巧依然有效。

 


  在 win{BLOCKED}.dyndns.info 网页上 JavaScript 程序代码可广泛侦测下列软件:

  Microsoft Office (Word 和 Outlook),从 97 至 2010 版

  Adobe Reader (7.0 至 9.3)

  Adobe Flash

  Java

  即时通讯程序 (Skype、Yahoo! Messenger、 MSN、Google Talk 及 QQ)

  程序开发工具与美工软件 (Delphi、.NET、Photoshop 及 Dreamweaver)

  此外,它还会检查系统上的文件夹分享软件、网页浏览器、远端系统管理工具、电子邮件用户端、下载管理员以及媒体播放器。信息安全软件也在其侦测之列,包括:市场上主要的杀毒软件与防火墙产品,还有 PGP 加密软件。此外,该恶意程序还会检查虚拟机软件,并且侦测自己是否在 VMware 虚拟机内执行。最后,它还会检查 Microsoft 更新 (KB842773 至 KB981793)。

  老实说,这个恶意程序样本有点奇怪,因为它会在入侵使用者的电脑之后才执行上述检查。如果是用来侦查,不是应该在攻击之前就执行吗?一种可能的解释是,攻击者刻意送出一些攻击“杂论”,希望系统管理员在清除这些杂讯之后就忘了这件事。但此时攻击者已经收集到企业的电脑配备资料。因此,就知道该公司偏好的杀毒软件、特定软件版本以及其他可用信息,接下来就很容易针对该目标发动进一步攻击。当攻击者准备就绪时,就会发动一次攻击来窃取想要的资料。

  此时,攻击者已经知道某个目标有哪些软件漏洞可以利用。想当然尔,这次攻击又会被形容为技术高超或专门针对被害人的攻击,然而它之所以能够得逞,完全是因为先前已掌握到必要的资料。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们