木马感染不断上升
木马感染不断上升
图1 欺诈者讨论绕过双因素认证的方法
浏览器中间人攻击主要是为绕过双因素认证而构想的。在一个由RSA发现的帖子中,欺诈者在讨论着各种可以绕过一次性密码认证的可用方法(参见图1)。欺诈者所使用的术语“自动转帐”就是指浏览器中间人攻击,是他们所讨论的其中一种方法。其中一个欺诈者驳斥了所建议的其他方法,声称浏览器中间人是对付一次性密码唯一可行的解决方案。
图2 保罗-麦卡特尼的歌迷网页被欺诈者篡改,以将恶意软件传播给访问者。
作为一种攻击向量,浏览器攻击在去年已经经历了指数级的增长。RSA见证了木马感染在过去的12个月内增加了10倍——这个结果也得到了其他行业观察和报告的支持,熊猫实验室报告称,在2008年上半年和2008年下半年之间,浏览器中间人感染率增长了8倍。这种增长部分是由于“下载驱动”(指在未经用户同意或用户不知晓的情况下,一个程序就自动下载到了用户的计算机上。这种程序的下载甚至在只是访问网站或查看电子邮件的时候就会发生。)感染数量的不断增长所致,“下载驱动”感染往往是由于合法网站的漏洞被僵尸网络和感染工具所利用,而在被侵害网站上放置了iFrame。从而将公众流量传播到感染点,试图将木马下载到每个访问者的计算机上。其中一个很好的例子就是保罗-麦卡特尼歌迷网站的侵害(参见图2)。在2009年4月,该网站被黑掉了两天,所有访问者都成为一种危险的金融恶意软件的受害者。
另一种效率极高的感染方法就是利用流行事件或关注话题将流量诱导至被感染网站。RSA发现并关闭了一个此类网站,它通过垃圾电子邮件攻击诱骗人们访问一个看起来很像CNN.com的虚假网站。虚假网页含有一个看起来像合法视频的链接。当访问者点击连接查看这个视频时,他们就会接收到一条错误消息,提示他们需要安装Adobe Flash Player 10,但实际上却会被一个木马所感染。
最后,社交网站的极度流行以及参与到社交活动的庞大用户数量同样也是木马攻击不断增加的原因之一。极其旺盛的人气以及这些网站的全球可达性也使它们成为被欺诈者利用的主要目标。今天,接近20%的网络攻击都是针社交网站(Breach安全实验室,“网络黑客事件数据库(WHID)2009双年度报告)。
“浏览器中间人”调查结论
根据对木马威胁,特别是“浏览器中间人”广泛深入的调查,我们可以得出以下几个结论:
* 登录保护不足以阻止浏览器中间人攻击。即使在真正的用户登录帐户后,木马也可以在用户登录后接管web流量。交易保护,或对登录后的可疑活动进行监控和识别是扭转浏览器中间人攻击所造成的威胁所必须的。相比于登录到一个账户的动作,交易通常需要更多的详细审查,同时也具有更多的风险。例如,一个未经授权的用户可能可以安全地登录访问一个账户,但一旦试图执行交易,将会是极其危险的事,如将帐户内的资金转出去。交易保护解决方案就能恰当的解决这些活动带来的问题。
* 由于一些木马使用HTML注入来请求凭证以通过进一步的认证,带外认证对浏览器中间人来说更具弹性,因为它绕开了在线认证渠道。
* 情报信息是消除战略中的一个主要部分。欺诈者使用复杂的更新和感染点,以及下拉区的通信系统,以传播他们的木马并收集被侵害的凭证。自2009年1月以来,RSA已经处理的木马通信资源增长了3倍多。同样,骡子帐户在套现过程中发挥着日益重要的作用。能够充分利用这些信息,特别是曝光木马的通信渠道和他们所使用的骡子帐户,对于开发一个完整的解决方案来说至关重要。
网友评论