安全公司FireEye称,一组创新的攻击者利用谷歌和一家互联网基础设施公司的免费服务来掩饰从企业和政府电脑中窃取的数据。
FireEye公司在3月份对感染了远程访问工具(该公司称之为Kaba,知名的PlugX的变体)的系统流量进行分析时,发现了这种攻击活动,被称之为Poisond Hurricane。
在多个美国和亚洲互联网基础设施服务提供商,金融机构和一个亚洲政府机构发现了受感染的电脑,FireEye并没有透露这些受害者的名称。
FireEye称,这些身份不明的攻击者使用鱼叉式钓鱼攻击来感染系统,然后利用恶意软件来窃取敏感信息,并发送到远程服务器。
这些攻击者的独特之处在于,他们使用Google Developers和Hurricane Electric公司的公共域名系统(DNS)服务来掩饰恶意软件和命令控制服务器之间的流量。
在这两种情况下,这些服务被用来作为某种交换站点来重定向流量,这些流量看似被发送到合法域名,例如adobe.com、update.adobe.com和outlook.com。
FireEye公司高级威胁情报研究人员Ned Moran表示:“这是攻击者隐藏其流量的新技术。”
Moran称,这些攻击者的策略非常聪明,可以欺骗网络管理员相信流量正发送到合法站点。
这种恶意软件通过包含伪造的合法网站的HTTP表头来掩饰其流量,FireEye发现了攻击者使用的21个合法域名。
此外,这些攻击者使用来自被列为“警察互助协会(Police Mutual Aid Association)”的合法证书,以及来自被称为“MOCOMSYS INC”的组织的过期证书,来为Kaba恶意软件签名。
在Google Developers的情况下,攻击者使用该服务来托管代码,解码恶意软件流量来确定真正目的地的IP地址,然后重定向流量到该位置。
Google Developers之前被称为Google Code,这是该搜索引擎公司的网站,专门提供软件开发工具、应用编程接口(API)以及与谷歌开发者产品合作的文档。开发人员还可以利用该网站来分享代码。
通过Hurricane Electric,攻击者可以利用这个事实,即其域名服务器被配置,这样任何人都可以使用该公司的托管DNS服务来注册免费的账号。
该服务允许任何人注册一个域名区域(+微信关注网络世界),这是DNS的域名空间中明确的连续部分。注册人然后可以为该区域创建记录,并指定它们到任何IP地址。
另外,Hurricane并不会检查新建区域是否已经注册或者由其他方所拥有。
Google和Hurricane收到通知其服务被恶意利用,这两家公司都已经删除了攻击机制。
Hurricane公司发言人Mike Leber表示:“我们非常感谢FireEye发现和记录了这个不寻常的攻击,这样我们就可以利基修复我们的服务来消除在未来出现这种攻击的可能性。”
Moran认为这些服务是攻击者创造力的受害者,而不是因为漏洞。
“这些是在网上提供的服务,可用于好的目的,也可用于恶意目的,”他表示,“枪可以用来保护人,也可以用来伤害人。”(邹铮编译)