昨天,两位研究人员在黑帽大会上拉开了有针对性的恶意软件攻击的帷幕,演示了依靠各种攻击手段实现的攻击,这些手段包括从零日PDF攻击到基于内存的rootkit攻击。在当天举行的四场演示中,每种攻击都进行了精心设计,其目的在于攻破目标公司,而且还在恶意软件中增加了新功能,以避开已经部署的检测保护系统,或者使网络安全取证调查人员无法取证。
数据安全和支付卡行业合规性管理解决方案提供商Trustwave公司的安全研究机构SpiderLabs的高级副总裁Nick Percoco指出,“定制恶意软件是攻击取得成功的关键,稳扎稳打是攻击取得成功的重要因素。攻击者既没有急于求成,也没有采用什么龌龊伎俩。攻击的持续性至关重要,攻击者必须不断发起并保持攻击。”
有针对性的、持续性的攻击一直是今年的主要攻击方式。谷歌及其他30多家技术公司、大型企业和美国国防承包商先后承认,黑客已经渗透其网络,利用先进的攻击技术秘密窃取了其敏感数据。这些攻击还创造了一个新的安全术语:高级持续性威胁(Advanced Persistent Threat,APT)。
虽然有针对性的攻击可能成为更加流行的攻击方式,但攻击者进入企业网络的手段与一年半前并没有太大区别。键盘记录器、网络嗅探器和内存转储工具仍然是主要的攻击工具,所不同的是攻击者采用了新的手段隐藏其踪迹,以便能够长期开展持续性的攻击。
Percoco与其同事、Trustwave公司资深取证调查员Jibran Ilyas同时指出,在许多情况下,攻击者可以在众目睽睽之下隐藏其踪迹。例如,他们使用可信赖的方式(例如FTP、HTTP和SMTP)将数据从企业传送出去。防火墙不会将HTTP流量标记为异常,而如果流量使用大于31337的TCP端口传送时,防火墙将会产生告警。
在其他情况下,例如在最近对一个知名人士经常光顾的、著名的迈阿密运动吧的攻击中,攻击者找到了避开数据丢失防护软件的简单方法。攻击者使用基于内存的rootkit工具安装恶意软件,该恶意软件可以捕获在该运动吧刷卡的信用卡磁条数据。该运动吧没有IT人员,其所有IT需求都是通过外包实现的。更糟糕的是,其收银系统与视频安全系统的DVR(数码录像机)服务器是同一套系统。
攻击者设法在该系统中安装了一个rootkit工具,该rootkit工具只提取包含信用卡号码的磁条数据。在每张信用卡的磁条数据中,信用卡号码与信用卡帐户持有人姓名之间有一个“carrot”字符(“^”)。数据丢失防护软件将这个“^”字符看作是信用卡号码的一部分。该恶意软件的目的就是使用百分号替代这个“^”字符。当包含信用卡号码的数据被传送出去时,数据丢失防护软件永远也查找不到这个“^”字符。
在针对West Coast网上成人书店的攻击中,攻击者设法劫持了一个Web应用程序(该网站所有Web应用程序的开发都是外包的)并安装了一个键盘记录器,以窃取管理页面上的身份验证凭据。令人难以置信的是,该管理页面居然允许文件上传,从而使这样的攻击能够得逞。
为了防止警惕的管理员可能会注意到Windows文件夹中多出来一个新的日志文件,该恶意软件中还包含了一个工具,可以修改新日志文件的时间戳数据,以使其看起来好像是自操作系统安装时就已经存在了。
Percoco指出,“太多的第三方应用程序存在漏洞”。
第三方应用程序还导致国际VoIP服务供应商被攻击者攻破。国际VoIP服务供应商为客户提供了两种付款方式:在线支付或通过销售终端支付。攻击者可以在Ngrep中加入一个网络嗅探器,Ngrep是一款允许用户在网络数据包中搜索正则表达式的工具。该恶意软件将会查找包含信用卡数据的数据包,并在每天固定的时间将其通过FTP发送给攻击者。
在由两名研究人员共同完成的最后一个攻击演示中,一家为美国军方进行数据分析的国防承包商的网络也被一个Adobe PDF零日攻击攻破。攻击者发送一封精心设计的、看起来像是来自行政部门的电子邮件,其内容和签名也与该行政部门日常发送的电子邮件相同。实际上,该邮件的附件是一个被感染的PDF文件。一旦该PDF文件被打开,恶意软件就会窃取受害者计算机中的“我的文档”文件夹内的所有文档,并通过FTP将这些内容上传到攻击者的服务器。
Percoco表示,“这些攻击防不胜防。我们看到,新的攻击层出不穷,攻击者不断开发新的攻击工具,并为这些攻击工具增加新的高级功能和自动化功能。利用这些自动化功能,攻击者甚至不需要接触要攻击的系统就可以发起攻击。”
【编辑推荐】