近来,专门利用热门软件漏洞来攻击单一特定对象的恶意软件攻击越来越普遍。在颇为知名的“Aurora”恶意软件攻击 Google 以及至少其他二十多家公司之前,锁定单一目标的恶意软件攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽然美国政府与相关网络遭到此类攻击已不是新闻,但越来越多其他国家的政府和民间机构也面临了同样的威胁。
今年稍早,加拿大、韩国和法国政府一些敏感的网络都曾发生严重的信息安全事件。最近,欧盟执行委员会(European Commission) 与欧盟对外事务部(European External Action Service) 也都遭到入侵。此外,信息安全厂商 RSA 与 Comodo 也都坦承发生安全事件,其中,至少 RSA 的案例看来就是一起锁定单一目标的恶意软件攻击。
是技术高超还是瞎猫碰上死耗子?
这类攻击经常被形容为技术高超或专门针对被害人的攻击,不论是哪一种说法,基本上就是表示攻击得逞。这类事后的描述经常暗指攻击者完全掌握了受害者的漏洞,在某些情况下,甚至完全符合他们的期望。我们很难根据那些模糊的公开信息来判断这些说法是否属实。所以,本文无意驳斥这些说法,只是希望强调,攻击者之所以能够锁定单一目标、具备精密的攻击技巧,全靠日积月累的知识,而非高超的工具和方法。
虽然大多数的因特网使用者可能一辈子也不会成为黑客锁定的单一目标,反倒比较容易成为一般威胁的受害者,例如:假防病毒软件 Fake AV 与网络银行木马程序 (Zeus、SpyEye),但专门从事单一目标攻击的恶意软件样本数量却从未减少。不过,实际上,攻击目标的针对性也有很大的变异。有些恶意攻击者喜欢制造一些“噪声”。他们会四处散发恶意文件 (通常会利用某些主题或问题来执行社交工程技巧),但这些文件的收件者 (也就是潜在的目标) 为数颇多。这些当然并未锁定某位个人或某个机构。但是,这类攻击很可能是针对特定目标的后续攻击前兆。
歹徒先做好功课
最近我从contagiodump.blogspot.com 所收到的一个样本就展示了这类攻击“噪声”所能达到的侦查效果。此恶意软件样本是一个专门利用 Microsoft HTML 说明档漏洞的 .CHM 档案。该程序就是趋势科技所侦测到的CHM_CODEBASE.AG,它会在系统植入 BKDR_SALITY.A 后门程序,接着制造一些网络流量,连上知名 BKDR_SALITY.A 服务器。
此外,该恶意软件还会产生一些网络联机连上win{BLOCKED}.dyndns.info。该服务器上的网页含有一段JavaScript 程序代码会使用 res:// 通讯协议来列出受害计算机上所安装的特定软件,然后将列表传送至 win{BLOCKED}.dyndns.info。这种藉由 res:// 通讯协议来找出系统安装软件的方法,早在 2007 年就由 Billy Rios 所发表。
根据 Rios 解释,Internet Explorer 从 4.0 版开始即内建 res:// 通讯协议,可用于侦测远程计算机上是否安装了特定软件,因此攻击者只要引诱使用者以浏览器连上某个网页即可。如同 Rios 指出,这项技巧可用于找出特定应用程序,进而找出适用的漏洞攻击技巧。此外,还可侦测系统是否有某个磁盘驱动器存在。这么多年之后,这项技巧依然有效。
在win{BLOCKED}.dyndns.info 网页上 JavaScript 程序代码可广泛侦测下列软件:
此外,它还会检查系统上的档案分享软件、网页浏览器、远程管理工具、电子邮件客户程序、下载管理员以及媒体播放器。信息安全软件也在其侦测之列,包括:市场上主要的防病毒软件与防火墙产品,还有 PGP 加密软件。此外,该恶意软件还会检查虚拟机软件,并且侦测自己是否在 VMware 虚拟机内执行。最后,它还会检查Microsoft 更新 (KB842773 至 KB981793)。
老实说,这个恶意软件样本有点奇怪,因为它会在入侵用户的计算机之后才执行上述检查。如果是用来侦查,不是应该在攻击之前就执行吗?一种可能的解释是,攻击者刻意送出一些攻击“噪声”,希望系统管理员在清除这些噪声之后就忘了这件事。但此时攻击者已经搜集到企业的计算机配备数据。因此,就知道该公司偏好的防病毒软件、特定软件版本以及其他可用信息,接下来就很容易针对该目标发动进一步攻击。当攻击者准备就绪时,就会发动一次攻击来窃取想要的数据。
此时,攻击者已经知道某个目标有哪些软件漏洞可以利用。想当然尔,这次攻击又会被形容为技术高超或专门针对被害人的攻击,然而它之所以能够得逞,完全是因为先前已掌握到必要的资料。
注释:作者Nart Villeneuve现为趋势科技信息安全威胁高级研究员。
网友评论