【51CTO.com 综合消息】尽管恶意软件通过公共资源进行更新已经不再是什么新鲜事,但RSA FraudAction研究实验室最近发现这种托管方法被用于操纵一种银行木马,即“巴西银行家”木马家族的一个变种。
实际上,允许用户上传所有类型的内容,并随后在有序表单中,没有换行符,如HTML标签所表示的单行换行符予以发布的网站,都能被用来存储木马的加密配置。这包括几乎所有的可以不受限制的发表评论,创建公开人物介绍和设置新闻组的社交网络及web 2.0平台。
向银行木马发送命令和控制
“巴西银行家”是一种将巴西的银行和其他拉丁美洲银行的客户作为攻击目标的金融木马。 有关“巴西银行家”变种加密指令(见图1)的社交网络人物介绍,在我们发现该木马配置点之后不久,这些违法内容就被该社交网络的支持团队所处理和删除。需要着重指出的是,这家社交网站无法防范被上述这样的方式所利用。任何可以发表用户自行输入内容的网站都容易受到这种滥用的攻击,而它赋予用户的自由则恰恰可以被利用。
图1 用作木马加密配置的社交网络人物介绍:
其工作原理如下:
◆隐藏在恶意软件背后的黑客为 “Ana Maria”的用户创建了一条假的人物介绍,并以文本的方式输入恶意软件的加密配置设置,随后上传至该人物介绍中。
◆恶意软件在用户机器上自行安装后,就会在人物介绍中搜索字符串EIOWJE(上张屏幕截图中用下划线标示)。这个字符串意味着恶意软件配置指令的起始点。
◆EIOWJE字符串之后的所有加密命令被恶意软件解密并在被感染计算机上执行。
上述方法可以让黑客无需租用专用的防弹服务器或为恶意软件的通信点注册域,就能够发送加密的命令。据报道,另一个被利用为木马运行命令和控制点的公共资源是Twitter的RSS产品。在这个示例中僵尸牧人的操纵方法如下所示:
◆欺诈者创建一个假的Twitter账户。
◆通过登录指定的电子邮件账户,木马定期在通过Twitter RSS发送的状态更新中检查新的指令。每个新的命令都显示为状态更新,并且包含有木马需要执行的新命令。
有个犯罪分子甚至更进一步,创建了一个基于Twitter的僵尸网络建立程序。另一个案例利用了Google Groups:在受害者计算机上完成自行安装后,木马就登录到Google Gmail账户,并从该犯罪分子预先为木马操作而创建的特定假新闻组请求页面。木马随后执行新闻组最新页面中指定的命令,并将其回复作为帖子上传至同一个新闻组中。
互联网安全公司之前已经报告过,包含有大量人物介绍的Web 2.0平台,诸如社交网站和webmail提供商,正被木马操纵者利用来存储恶意软件配置文件:
◆犯罪分子不需要为其命令和控制点(也称为更新点)购买和维护域名。
◆犯罪分子不需要为他们的活动购买或维护专用的防弹服务器。
◆公开的人物介绍或账号一旦被这些服务删除,新的人物介绍或账户就能够快速、免费地创建。
从犯罪分子的角度来看,对公共资源的利用可能更加难以发现。仅仅通过扫描可疑URL检测托管于公共网站的木马相关通信资源实际上已经几乎不可能。这些资源要求安全公司部署其他的检测方法。
值得一提的是,尽管存在着许多优势,但将通信资源托管于公共资源之上的银行木马攻击还相当少见;目前这种方法仍然规则之外的一种异常方法。通常,在检测到威胁并通知相应的支持团队后,这些命令和控制点的删除还是非常简单和快捷的。
解析7月网络钓鱼攻击
2010年7月,RSA连续第二个月监测到网络钓鱼攻击数量的减少;在7月份,攻击总数下降了16%。其中,使用标准方法进行托管的攻击比上个月下降了7%,而托管于快速通量网络的供给数量则整整下降了70%。
根据最近几个月RSA的报告,Rock网络钓鱼团伙(也称为雪崩团伙)已经停止了网络钓鱼活动,并在活跃地发动攻击以到处扩散恶意软件。因此,在7月份,由MS-重定向网络(也称为雪崩僵尸网络)发起的供给非常之少。
遭受攻击的品牌总数
在7月,网络钓鱼供给针对全球216个品牌发起了攻击,比5月减少了3%。上个月,被攻击次数少于5次的品牌共有120个,占所有遭攻击品牌总数的56%,同时共有19个品牌第一次遭受攻击。
美国境内遭受攻击的金融机构细分
全国性银行仍然是美国金融机构中遭受攻击最多的品牌(按遭受攻击的品牌数量),比6月份上升了3%。遭受攻击的地区性银行数量下降了3个百分点,而遭受攻击的信用合作社部分与5月份相比保持不变。自2010年5月以来,相比之下美国的全国性银行一直是网络钓鱼攻击的重灾区。
托管网络钓鱼攻击最多的前十个国家
美国连续8个月以相当大的比例成为托管网络钓鱼攻击最多的国家;在7月份,RSA所确定的网络钓鱼攻击,美国托管了63%。加拿大和澳大利亚仍然是托管网络钓鱼攻击最多的国家之一,而连续几个月位于前三名的韩国则下滑到第7位,托管了7月份攻击总数的3.5%。
攻击数量最多的前十位国家
7月,发生在美国的网络钓鱼供给数量有所增加,取代了英国成为遭受攻击数量最多的国家。此外,在连续三个月位列榜单后,巴西被哥伦比亚所取代,掉出了攻击数量最多的前十位国家之列。
按攻击品牌划分的前十位国家
7月,遭受攻击的美国品牌数与所有其他国家相比比例接近2:1。巴西完全消失在图表中,而新西兰自2009年9月首次入围以来,重新出现在了名单之中。自2010年3月以来,网络钓鱼攻击者持续不断地对相同一批国家的品牌发起攻击,即美国,英国,意大利,加拿大,澳大利亚,印度,南非和法国。