有針對性的惡意軟件攻擊:道高一尺 魔高一丈
昨天,兩位研究人員在黑帽大會上拉開了有針對性的惡意軟件攻擊的帷幕,演示了依靠各種攻擊手段實現的攻擊,這些手段包括從零日PDF攻擊到基于內存的rootkit攻擊。在當天舉行的四場演示中,每種攻擊都進行了精心設計,其目的在于攻破目標公司,而且還在惡意軟件中增加了新功能,以避開已經部署的檢測保護系統,或者使網絡安全取證調查人員無法取證。
數據安全和支付卡行業合規性管理解決方案提供商Trustwave公司的安全研究機構SpiderLabs的高級副總裁Nick Percoco指出,“定制惡意軟件是攻擊取得成功的關鍵,穩扎穩打是攻擊取得成功的重要因素。攻擊者既沒有急于求成,也沒有采用什么齷齪伎倆。攻擊的持續性至關重要,攻擊者必須不斷發起并保持攻擊。”
有針對性的、持續性的攻擊一直是今年的主要攻擊方式。谷歌及其他30多家技術公司、大型企業和美國國防承包商先后承認,黑客已經滲透其網絡,利用先進的攻擊技術秘密竊取了其敏感數據。這些攻擊還創造了一個新的安全術語:高級持續性威脅(Advanced Persistent Threat,APT)。
雖然有針對性的攻擊可能成為更加流行的攻擊方式,但攻擊者進入企業網絡的手段與一年半前并沒有太大區別。鍵盤記錄器、網絡嗅探器和內存轉儲工具仍然是主要的攻擊工具,所不同的是攻擊者采用了新的手段隱藏其蹤跡,以便能夠長期開展持續性的攻擊。
Percoco與其同事、Trustwave公司資深取證調查員Jibran Ilyas同時指出,在許多情況下,攻擊者可以在眾目睽睽之下隱藏其蹤跡。例如,他們使用可信賴的方式(例如FTP、HTTP和SMTP)將數據從企業傳送出去。防火墻不會將HTTP流量標記為異常,而如果流量使用大于31337的TCP端口傳送時,防火墻將會產生告警。
在其他情況下,例如在最近對一個知名人士經常光顧的、著名的邁阿密運動吧的攻擊中,攻擊者找到了避開數據丟失防護軟件的簡單方法。攻擊者使用基于內存的rootkit工具安裝惡意軟件,該惡意軟件可以捕獲在該運動吧刷卡的信用卡磁條數據。該運動吧沒有IT人員,其所有IT需求都是通過外包實現的。更糟糕的是,其收銀系統與視頻安全系統的DVR(數碼錄像機)服務器是同一套系統。
攻擊者設法在該系統中安裝了一個rootkit工具,該rootkit工具只提取包含信用卡號碼的磁條數據。在每張信用卡的磁條數據中,信用卡號碼與信用卡帳戶持有人姓名之間有一個“carrot”字符(“^”)。數據丟失防護軟件將這個“^”字符看作是信用卡號碼的一部分。該惡意軟件的目的就是使用百分號替代這個“^”字符。當包含信用卡號碼的數據被傳送出去時,數據丟失防護軟件永遠也查找不到這個“^”字符。
在針對West Coast網上成人書店的攻擊中,攻擊者設法劫持了一個Web應用程序(該網站所有Web應用程序的開發都是外包的)并安裝了一個鍵盤記錄器,以竊取管理頁面上的身份驗證憑據。令人難以置信的是,該管理頁面居然允許文件上傳,從而使這樣的攻擊能夠得逞。
為了防止警惕的管理員可能會注意到Windows文件夾中多出來一個新的日志文件,該惡意軟件中還包含了一個工具,可以修改新日志文件的時間戳數據,以使其看起來好像是自操作系統安裝時就已經存在了。
Percoco指出,“太多的第三方應用程序存在漏洞”。
第三方應用程序還導致國際VoIP服務供應商被攻擊者攻破。國際VoIP服務供應商為客戶提供了兩種付款方式:在線支付或通過銷售終端支付。攻擊者可以在Ngrep中加入一個網絡嗅探器,Ngrep是一款允許用戶在網絡數據包中搜索正則表達式的工具。該惡意軟件將會查找包含信用卡數據的數據包,并在每天固定的時間將其通過FTP發送給攻擊者。
在由兩名研究人員共同完成的最后一個攻擊演示中,一家為美國軍方進行數據分析的國防承包商的網絡也被一個Adobe PDF零日攻擊攻破。攻擊者發送一封精心設計的、看起來像是來自行政部門的電子郵件,其內容和簽名也與該行政部門日常發送的電子郵件相同。實際上,該郵件的附件是一個被感染的PDF文件。一旦該PDF文件被打開,惡意軟件就會竊取受害者計算機中的“我的文檔”文件夾內的所有文檔,并通過FTP將這些內容上傳到攻擊者的服務器。
Percoco表示,“這些攻擊防不勝防。我們看到,新的攻擊層出不窮,攻擊者不斷開發新的攻擊工具,并為這些攻擊工具增加新的高級功能和自動化功能。利用這些自動化功能,攻擊者甚至不需要接觸要攻擊的系統就可以發起攻擊。”
【編輯推薦】
