無(wú)需木馬感染即可監(jiān)聽鍵盤:ScanBox惡意軟件問世
通過木馬感染才能竊取目標(biāo)機(jī)密的時(shí)代一去不復(fù)返了。八月問世的鍵盤記錄器ScanBox也許開啟了“竊聽工具”的新紀(jì)元,攻擊者將ScanBox惡意Javascript代碼植入存在漏洞的網(wǎng)站上,就可以將用戶的鍵盤記錄全部截獲下來(lái)。
ScanBox軟件簡(jiǎn)介
普華永道(PwC)的Chris Doman和Tom Lancaster表示:“ScanBox非常的危險(xiǎn),它不需要像傳統(tǒng)惡意軟件一樣植入計(jì)算機(jī)硬盤才能竊取機(jī)密,它只需要你的瀏覽器執(zhí)行javascript代碼就能進(jìn)行鍵盤記錄。”他們?cè)谥芤坏膱?bào)告中發(fā)布了四個(gè)不同的攻擊案例,每個(gè)案例都是由不同的人利用ScanBox發(fā)起的攻擊。
八月,AlienVault實(shí)驗(yàn)室發(fā)布了ScanBox,這款工具的主要功能是信息竊取。除了鍵盤記錄功能以外,它還能列舉系統(tǒng)中安裝的軟件列表,包括安全軟件、Adobe Flash及Adobe Reader的版本號(hào),Office的版本號(hào),以及Java環(huán)境的版本號(hào)。這些系統(tǒng)信息會(huì)被ScanBox加密,通過后門傳到主控服務(wù)器上。
AlienVault實(shí)驗(yàn)室的老大Jaime Blasco寫道:“這是一個(gè)非常強(qiáng)大的框架,它會(huì)幫助你發(fā)現(xiàn)更多的潛在目標(biāo),然后更加輕松地發(fā)起后續(xù)攻擊。”
FreeBuf科普:什么是水坑攻擊
水坑是由RSA安全公司命名的一種計(jì)算機(jī)攻擊策略。它的受害者通常都是一些特定的組織,如機(jī)構(gòu)組織、工業(yè)組織、區(qū)域組織。攻擊者主要是先觀察哪些網(wǎng)站使用并感染了惡意病毒,然后再有針對(duì)性的去實(shí)施攻擊。#p#
攻擊案例枚舉
同時(shí)進(jìn)行的不止這些,利用“水坑攻擊”向網(wǎng)站植入ScanBox以后,會(huì)跟上一系列的后續(xù)攻擊。然而,受害者并不止于AlienValult實(shí)驗(yàn)室于八月發(fā)現(xiàn)的那些工業(yè)目標(biāo)。一個(gè)月前,該漏洞代碼通過code.googlecaches.com的漏洞,攻擊了中國(guó)的維族激進(jìn)分子。然后在十月還發(fā)現(xiàn)另外兩場(chǎng)攻擊。其中一場(chǎng)是通過news.foundationssl.com上的漏洞,對(duì)美國(guó)某個(gè)政府網(wǎng)站發(fā)起的。另一場(chǎng)則是借助qoog1e.com對(duì)一家韓國(guó)的酒店網(wǎng)站發(fā)起的攻擊。
Doman和Lancaster稱:
“這些行動(dòng)給我們最明顯的警示是,不止一個(gè)組織在使用這種框架(雖然該框架使用范圍不止于此,某些黑客盯上了大量的組織機(jī)構(gòu),某些人對(duì)特定地區(qū)部門更感興趣)”
誰(shuí)才是攻擊者
普華永道(PwC)研究員同時(shí)還表示,他們發(fā)現(xiàn)同一類代碼中的實(shí)現(xiàn)了不同功能。
比如,在那四個(gè)受攻擊的網(wǎng)站(PwC周一發(fā)布的報(bào)告中的四個(gè)案例)中運(yùn)行的同一類惡意代碼,A、B兩個(gè)網(wǎng)站和C、D兩個(gè)網(wǎng)站的代碼實(shí)現(xiàn)有著一定區(qū)別。在前兩個(gè)網(wǎng)站中它可能只是獨(dú)立的代碼塊,而在另外兩個(gè)網(wǎng)站上,它得通過插件才能實(shí)現(xiàn)。
PwC的報(bào)告寫道:“我們并沒有發(fā)現(xiàn)這些黑客之間有什么直接聯(lián)系,沒有使用諸如相同的域名或IP地址等特征。對(duì)于都在GoDaddy注冊(cè)的那些網(wǎng)站,也沒有發(fā)現(xiàn)什么特別的聯(lián)系。”
黑客之間的資源分享導(dǎo)致代碼特征重疊
“在一些攻擊案例中,某些黑客傳播分享的資源,其實(shí)是由黑客組織通過“水坑攻擊”竊取到的。當(dāng)然,這些資源也有可能是那四個(gè)案例幕后的黑客組織;或者是那些目標(biāo)定位廣闊,試圖從不同目標(biāo)上收集惡意代碼的黑客組織。”Doman和Lancaster說(shuō)。
同時(shí)他們還認(rèn)為:“在我們看來(lái),最有可能的是那些黑客組織分享資源導(dǎo)致了特征重疊(小編:分析不出來(lái)就明說(shuō)嘛)。在不同的黑客組織發(fā)現(xiàn)他們擁有相同的目標(biāo)后,他們會(huì)共享惡意軟件庫(kù)、人員、甚至有時(shí)是同一批主機(jī),所以這會(huì)造就許多相似特征。分享如ScanBox之類的框架降低了攻擊者的門檻,使攻擊者能輕松地達(dá)到更好的攻擊效果。”
原文鏈接:http://threatpost.com/four-distinct-watering-hole-attacks-dropping-scanbox-keylogger/109061
