Denis Makrushin

2 文章

合法恶意软件和网络”雇佣兵”

我们所生活的这个时代令人痴迷,计算机和网络正越来越多地与我们的日常生活息息相关。不久前,我们还只是将计算机和网络用在办公室和生产设施,但今天,它们早已走进了我们的客厅和厨房,几乎人手一部可连接计算机的移动设备。我们正在步入美好的互联网时代,几乎所有东西都将被接入网络。 我们越是将日常工作更多委托给计算机处理,对于那些热衷于”挖掘”他人隐私的坏家伙(网络犯罪分子)和好家伙(有正当理由使用黑客技巧的在执法机构官员)来说就更具吸引力。 如果我们将他们可能相反的动机放在一边,另一个有趣的特征也能将他们区分开来:网络入侵和间谍活动于情报局而言几近犯罪行为,但确也是他们日常工作的一部分。 合法恶意软件现象 当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化,与信息安全市场的定位完全不同。例如,出售零日漏洞(类似于缺乏适当安全解决方案的漏洞)问题日益突出。 网络犯罪合法化正成为网络犯罪业务领域的新趋势。 目前任何人(能够买得起某些标价超过6位数以上的漏洞)都能购买漏洞利用工具并适时加以使用—通常用于保护自己的资产,但是事实上,可用于任何的东西。此类漏洞的交易完全可与导弹或精密炸药这样的军火交易相提并论。 此外,一些公司会提供能网络潜入的全功能软件包,并在掌控受害者计算机后即能监视他们的一举一动。我们曾此前讨论过顶级间谍木马病毒 – 这一情况好比出售全套虚拟文件系统。 FinFisher的广告标语显示了其完美的合法入侵和远程监控手段。提供此类服务的公司众多,范围从政府下属最大的国防工业大型综合性企业到中等规模的独立公司。 后者当然不会向任何人出售恶意软件,但其客户名单却包罗万象:除了政府情报组织以外,还包括了一些大型企业。此类网络”雇佣兵”的服务产品还热销于第三世界国家政府(例如:巴基斯坦和尼日利亚)。 此外,你还会注意到网络间谍服务的实际买家并不一定就是表面购买的那个:曾发生过将监控和过滤解决方案出售给阿联酋后,最终由受禁运国叙利亚获得。 无论如何,从卡巴斯基实验室的经验看,私人开发的合法恶意软件不仅出售给”拥有合法权”的情报局(其用途合法性到底几何非本文讨论主题),也会落入极端功利的第三方手中。换句话说,尽管作为普通人的你与网络犯罪或政治领域毫不相关,但总有一天你会发现自己也受到牵连。 到底有多危险? 可以说是相当的危险。类似恶意软件专为手握大把钞票的客户而量身打造。其技术水平之先进,并非只是不良少年或小偷小摸的犯罪分子从信用卡内偷几百块美金那么简单。 此类恶意软件开发者的深刻见解载于了维基解密中,上面有这样一句话:传统反病毒软件对其产品无法造成任何威胁。 合法恶意软件开发商在其产品内使用了大量先进技术,能够完全躲避病毒分析人员的追踪并防止其暗中监视。 我们该如何应对? 事实证明此类技术的确有其局限性所在:要想偷偷入侵系统并没有什么神秘性可言,需要的只是一款通常的恶意软件。 因此,这意味着卡巴斯基实验室解决方案中所使用的启发式算法(基于搜索与恶意软件有关可疑属性的检测方法)完全能过滤网络”雇佣兵”的攻击。 卡巴斯基启发式算法能成功捕获极具创造性的网络”雇佣兵”。 例如,通过我们对FinFisher产品的研究(合法网络武器市场中最优秀的一家公司)证明与FinFisher的说法完全相反,我们的卡巴斯基反病毒6.0(MP4)内所采用的启发式算法分析器能成功处理此类威胁。 考虑到一些界限模糊的’反网络犯罪分子’工具最终会落入”不法分子”手中,这意味着每个用户都应安装一款运用相关技术可应对高精密性威胁的反病毒软件。

在线支付:威胁及电子支付保护

在线购物、在线转账及在线银行服务可为我们节省大量时间并使得我们的生活更轻松。但是,可使生活变得轻松的同一技术,也为罪犯偷窃财务提供了新颖且更便捷的方法。使用偷窃的支付数据,是黑客快速获利的一种有效且流行的方法。尽管银行试图保护其用户,以使得个人用户可受到抵御普通攻击的保护。对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。针对每个已被劫持的在线银行客户,尽管偷窃的款项金额数量较小,但网络罪犯不被发现的机会却更佳。值得注意的是,针对银行个人客户的攻击,在很大程度上属于自动攻击,并且几乎不需要操作员的参与。   大量感染的网络武器 自若干年前,银行木马就已流行于网络犯罪市场中。当前,存在大量潜在的受害者,此类潜在受害者并未确保其计算机中的应用程序获得及时更新,进而为网络犯罪提供了诸多机会。木马程序可以感染计算机工作站,并独立收集支付信息;有些木马甚至具有代表用户,实施金融交易的能力。 举例来说,ZeuS在线银行木马可向网页中添加木马自身包含的数据输入形式,从而获得有关用户支付的详情信息(银行卡卡号,CVC2/CVV2,完整姓名,账单地址等)。 广泛分布于俄罗斯网络空间中的恶意程序——Carberp,可向网页中添加其自身代码,使用户网页保存在线银行系统中的银行卡数据(银行卡卡号),然后促使用户输入其他银行信息(CVV2,个人数据等)。 对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。 对银行发动黑客攻击更为费时、成本更为昂贵且被抓住的风险更大。与此相反,许多个人用户所使用的电脑却带有诸多漏洞,因此也更容易攻击。 除了可向用户网页中添加程序代码之外,木马程序还可使用其他技术获取用户支付信息。举例来说,对于上文中提到的Carberp恶意软件所产生的变种,可以飞速修改iBank 2(流行的在线银行系统)代码,进而可以拦截用户支付细节信息。 克服第二个障碍 一些银行试图通过引入各种复杂的额外身份验证因素的变体,使网络罪犯难以得手。此类身份验证因素的变体诸如令牌(包含单一用户密钥的小型USB装置)等。银行要求用户在每次实施支付交易时,都需要使用该令牌。潜伏木马程序的开发者已发现可绕过令牌保护,并获得交易授权的巧妙方法: 1. 用户使用在线银行系统,启动支付交易并输入相关用户细节信息。 2. 木马程序可以拦截用户的支付细节信息,并等待系统提供令牌提示。 3 .在线银行系统将提示用户提供令牌。用户通过向适当的硬件端口中插入USB令牌完成这一进程。 4. 木马程序可实施拦截,并使用户计算机工作站显示”死机蓝屏”。该蓝屏将告知用户,为实施接下来的分析进程需创建内存转储,并要求用户在操作完成之前,不可关闭计算机工作站。 5 .在用户等待操作完成期间(此时令牌仍插在USB端口后),网络罪犯可以访问用户账户、完成支付交易并向黑客账户中转账用户中的款项。 金融交易的安全系统 当在线银行恶意软件可在计算机上运行时,需要找到拦截支付数据的方式。木马程序可通过下述技术,完成上述目标: 网页添加(在网页向用户显示网页内容之前,修改网页内容) 劫持HTTP/HTTPS会话(”中间人”攻击的经典实例) 欺骗认证程序,或重新将页面导航至目标钓鱼网页 创建桌面截图 记录键盘击键 理解威胁列表,并利用威胁列表创建安全支付方案: