恶意软件

102 文章

卡巴斯基实验室与荷兰警方联合行动,成功抓捕CoinVault勒索软件背后罪犯

今年9月14日(星期一),荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起,该恶意软件将20多个国家的电脑用户作为攻击目标,锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变,并与荷兰警方国家高科技罪案组(NHTCU)保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言,特别在书写中要想不出现错误更是难上加难,因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的! 2014年11月,卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话,受害人只有两种选择,要么向犯罪分子支付赎金,要么就永远失去自己的重要文件。 此后,卡巴斯基实验室还联系了熊猫安全公司,该公司曾发现另一些恶意软件样本(事实证明与CoinVault有关)的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力,终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查,其中只有一小部分与执法机构合作。 荷兰警方承认,正是有了与多家安全公司的合作,才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起,主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金,预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本,以及定期在未联网设备上做备份,如此即可高枕无忧。而且请牢记:你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外,即便你支付了赎金,也无法保证就一定能恢复被锁文件。  

事实还是谎言:计算机病毒能否真的损坏电脑硬件?

事实上,病毒损害电脑硬件是信息安全领域流传最广的讹传之一。但同时,也是最不标准的一个。事物的两面性可能是这一讹传长久存在的原因。 在20世纪末同时也是电脑时代即将来临的时候,电脑用户之间时常流传着发生在自己好朋友身上有关电脑遭病毒感染的可怕故事。在这些故事中,病毒常常”神通广大”,不仅能造成阴极射线管显示器交错’错误’,还能致使电脑硬件部件”完全烧毁”。在其它的故事版本中,恶意软件会造成硬盘驱动器猛烈’震动’,最终导致整个硬盘损毁。或者超频后的软驱会导致转子迅速过热从而造成危险。 与此同时,反病毒软件开发人员不时会打破这些讹传。不可否认,有些故事在理论上的确可行,但各硬件内置的极度安全保护机制完全能够阻止此类错误的发生。正如安全专家所说的,对于此类故障的担忧完全是毫无必要且多余的,因为根本不可能发生。 一些电脑用户表面上似乎对这些解释表示满意,但内心里对这些” 讹传”仍然坚信不疑。他们始终认为任何事都有可能发生,电脑供应商只是掩盖了事实真相。 然而,生活中原本就充满各种乐趣和惊喜。举个例子,在1999年的时候,当时广为传播的Win95.CIH病毒曾感染了数千台计算机。该恶意软件会篡改保存在硬盘以及主板BIOS芯片上的数据。导致其中一些受影响电脑无法启动,原因是引导程序损坏。而要想消除该攻击带来的不良影响,用户必须更换BIOS芯片并重写数据。 但这是就是对电脑所造成的物理损伤呢?答案是否定的。在经过一系列的处理后,主板就能被修复并重新回到正常工作状态。但常规’家庭急救箱’无法解决这一问题,还需要特殊的设备。 如今,情况就更加复杂了。 首先,所有单独硬件都附带了可重写的微程序,有时候还不止一个。这一趋势竟然没有影响到这一过于智能化硬件的紧固程度,对此我感到很惊讶。 每一种微程序经过多年的演变,已然成为了一种相当复杂的软件,且因其设计可能会遭受黑客攻击。一旦攻击成功,产生的后果并不总能立即解决。 拿硬盘的改进固件举例。就当时的记录来看,在卡巴斯基实验室专家分析Equation网络间谍活动时,还对植入不同硬盘型号微程序的间谍软件模块进行探究。这些恶意软件被用来对受影响硬盘进行完全控制;而即便格式化也无法立即修复。 使用常规工具箱无法更改固件—固件自行负责更新工作。你完全可以想象,更改固件的难度有多高。当然,如果你正巧手上有专业设备,就有可能更改任何一种微程序。而在现实生活中,一个受影响的硬盘只能直接当垃圾丢掉–从成本角度看这也是最好的选择。 这是否就能认定是物理损坏呢?仍然存在争议。但有关基于硬件漏洞的案例数量却在逐年增加。 其次,难以界定哪些设施可以被定义为’计算机’。比如,目前的所有汽车从某种程度上讲都可以算作是一台计算机—而更重要的是–这是一台装在轮子上的联网计算机。正如我们在最近有关远程入侵Jeep Cherokee车的公开演示中发现的,目前许多汽车都容易遭受远程入侵和病毒感染。 因此,黑客入侵是由黑客实施的,而不是计算机病毒—经过数年的专研,对于黑客来说简直是小菜一碟。然而,通过黑客攻击让行驶中的汽车停下来并撞向路边电线杆并不会让我们感到惊讶。我猜这可以算是物理损坏。 那么我们又回到文章开头提出的问题,计算机病毒是否真的能损坏电脑硬件呢?这到底是事实还是谎言? 可以说是事实。但这完全取决于你对“损坏”、”病毒”和”电脑”等名词的定义。

《安全周报》第37期: bugzilla的 bug信息外泄、Carbanak”卷土重来”以及利用С&C实施网络钓鱼

在我们爆炸性的热门新闻系列”Infosec news”的新一期中,我们将为您带来以下内容: Bugzilla遭黑客攻破给我们敲响了警钟:完全有必要设置高强度和唯一密码。 导致网络攻击者从各大金融组织窃取数百万美元的Carbanak黑客活动在欧洲和美国”卷土重来”。 卡巴斯基实验室研究发现了一种增强网络间谍C&C服务器隐秘级别的方法,可从”非常难以追踪”级别提高至”根本无法追踪”级别。 再次重申我们《安全周报》的编辑原则:每周Threatpost团队都会精心摘选三条当周要闻,并加上本人的辛辣评论。 Bugzilla的bug数据库遭黑客攻破 新闻。有关这一网络攻击的常见问题。 在上一期的《安全周报》中,我提出了所谓“负责任的信息披露”的问题,同时还列举了网络公司对披露所发现bug相关信息的不同意愿。有关Mozilla的bug追踪器遭黑客攻破的新闻可谓是这方面的完美范例:有时候隐藏存在漏洞的信息未尝不是好事。 显然这一问题并未得解决。在8月份,Mozilla发布了针对Firefox的补丁,并成功修复了存在于内置PDF查看器的bug。一名遭受漏洞利用的受害用户发现了这一bug并随即报告了该漏洞。这一网络攻击的切入点是特别设计的横幅广告,使得网络犯罪分子能窃取用户的个人数据。 我始终认为在开发人员编写补丁时,他们就已经意识到了bug。Bugzilla也含有关于该bug的信息,但却保存在系统的私用部分。上周所发生的状况证实了人们对非法访问的怀疑。事实上,Bugzilla并未被”黑客攻破’:只是网络攻击者发现了特权用户并在另一个受感染数据库找到了他的密码–而这各密码恰巧就是访问Bugzilla的密码。 结果是,网络攻击者早在2013年9月就成功访问了隐秘的bug数据库。在该网络攻击的常见问题中详细记载了在这一期间,黑客总共访问了185个bug的相关信息,其中53个bug极度危险。在网络犯罪分子非法访问数据库后,在被盗的bug清单中总共有43个漏洞打上了补丁。 在剩下信息遭泄露的bug中,其中有两个bug的信息在泄露一周内可能被打上了安全补丁;从理论上说,其中5个bug可能已被实施漏洞利用,因为在信息外泄后的一周到一个月内才发布了相关补丁。剩下的漏洞在过了335天后才发布了有针对性的补丁,在这期间总共被漏洞利用了131,157次。这是有关黑客攻击最可怕的新闻;然而,Mozilla开发者并没有’证据表明这些漏洞都已遭到漏洞利用。’在50多个bug中,只有一个曾遭到漏洞利用。 其中的道理很简单,我真的非常想登上高台大声疾呼:”朋友们!兄弟们,姐妹们!女士们,先生们!请务必对每个单独网络服务使用唯一密码!”然而,这并没有表面看上去的那么简单:此类方法肯定还要用到密码管理器。尽管可能你已经有了密码管理器,但你依然需要静下心来准确并彻底更改所有你使用频率较高的网络资源的密码,如果是全部网络资源的话当然更好。而来自我们的统计数据显示只有7%的人使用密码管理器。 全新Carbanak版本”卷土重来”,再次对美国和欧洲实施网络攻击 新闻。卡巴斯基实验室的2月份研究。CSIS更新研究。 我们将引用我们在2月份对’史上最严重数据盗窃’所发表的声明: “网络攻击者有能力将窃取的资金转移到他们自己的银行账户并立即篡改余额报表,这样可以防止该攻击被许多强大的安全系统发现。这一操作的成功是建立在网络犯罪分子对银行内部系统完全掌控的情况下。这也是为什么在成功攻破银行系统后,网络分子使用了大量情报技术以收集有关银行基础设施工作方式(包括:视频捕捉)的必要信息。” 在与执法机构的共同努力下,发现了多家银行因受到复杂且多层的Carbanak攻击而遭受资金损失,总金额达到10亿美元,且总共有超过100多家大型金融机构不幸成为受害者。但上述网络攻击发生在2月份,而在8月末的时候丹麦CSIS研究人员再次发现了Carbanak的全新改进版本。 新旧版本之间的区别并不大:只是将域名替换成了静态IP地址。至于数据盗窃所用的插件,与2月份使用的并无差异。 据CSIS称,新版本的Crabanak将攻击目标锁定为欧洲和美国的大型公司。 Turla APT攻击:如何借助卫星网络隐藏C&C服务器 新闻。另一篇新闻。研究。 包括卡巴斯基实验室研究专家在内的众多infosec研究人员长期对Turla APT网络间谍活动进行研究。去年,我们公布了针对黑客攻破受害人计算机、收集数据并发送至C&C服务器方法的极其详细的研究。 这一复杂的网络间谍活动每个阶段都需要用到许多工具,包括:借助零日漏洞利用受感染文档的’鱼叉式网络钓鱼’;病毒感染网站;根据攻击目标的复杂程度和数据临界性的各种数据挖掘模块(手动挑选);以及相当高级的C&C服务器网络。结果是,截止8月份,该网络间谍活动声称已在45个国家(欧洲和中东地区占了大部分)致使数百名用户不幸成为受害人。 就在本周,卡巴斯基研究人员https://twitter.com/stefant公布了该网络攻击最后一阶段的数据,也就是将盗窃数据发送至C&C服务器的时候。为了能进行数据挖掘,Turla像之前的许多APT黑客小组一样,使用了各种不同方法–比如,滥用防托管。而一旦将盗取数据发送到在特定服务器上托管的特定C&C,那无论网络犯罪分子设置何种代理,都极大可能会遭到执法机构逮捕或被服务提供商阻止。 而这时候就需要用到卫星网络。使用卫星网络的优势在于只要在卫星覆盖范围内,就可以在任何地点建立或移除服务器。但这里还有个问题:租用容量够用的双向卫星信道不仅租金昂贵,而且一旦踪迹被发现将很容易暴露服务器的位置。我们研究专家发现的攻击方法并未使用到租赁模式。 只需对卫星通信终端的软件稍加修改就能进行”卫星钓鱼”,不仅不会拒绝不属于任何特定用户的数据包,同时也会进行收集。结果是,”卫星钓鱼者”可能会收集到其他人的网页、文件和数据。这一方法只有在一种情况下有效:卫星信道并未加密。

俄罗斯网络间谍对卫星实施漏洞利用

Turla APT黑客小组(又称”Snake”和”Uroboros”)被誉为全球最高级的网络威胁者。在8年多的时间里,这一网络间谍小组在互联网上兴风作浪、为所欲为,但直到我们去年出版《Epic Turla research》之后,其黑客活动才为普通大众所知晓。 我们在研究中尤其发现了一些语言痕迹的案例,表明Turla小组的一部分成员来自俄罗斯。这些人采用常用于补充斯拉夫字符的1251代码页,里面像’Zagruzchik’这个词在俄语中表示”引导装在程序”的意思。 Turla黑客小组之所以特别危险且难以抓到的原因不仅仅是因为使用了复杂的黑客工具,而是在最后攻击阶段实施了精密的基于卫星的命令与控制(C&C)机制。 命令与控制服务器是高级网络攻击的基础。同时,这也是恶意基础设施中最薄弱的一环,因此往往会成为数字调查者和执法机构的首要打击目标。 主要有两个原因。首先,这些服务器被用来控制所有的操作。一旦成功将其关闭,就能扰乱甚至完全破坏网络间谍活动。其次,C&C服务器可以用来追踪网络攻击者的实际所在位置。 这也是为什么这些网络威胁者总是不遗余力将自己C&C服务器隐藏得尽可能深。Turla黑客小组也找到了颇为有效的隐藏方法:在空中取消服务器IP。 使用最广泛且最廉价的基于卫星的网络连接类型之一就是只使用下行连接。在这里,来自用户电脑的数据通过常规线路—宽带线或蜂窝网络传送—而所有输入流量则来自卫星。 然而,这一技术也有缺陷性:所有从卫星发送到电脑的下行流量均未加密。简而言之,任何人都可以拦截这些流量。Turla小组利用这一漏洞想出了一个有趣方法:隐藏他们自己的C&C流量。 具体操作步骤如下: 他们监听来自卫星的下行流量以发现活跃的IP地址,而这些地址必须属于此刻在线的基于卫星的网络用户。 随后他们选择一定数量当前活跃的IP地址,在合法用户不知道的情况下隐藏C&C服务器。 被Turla用病毒感染的机器将会按照指令向被挑选的IP地址发送所有数据。数据通过常规线路发送至卫星,并最终从卫星传送到IP被挑选到的用户。 这些数据会被合法用户的电脑当做垃圾清除,而这些网络威胁者则从下行卫星连接获取这些数据。 由于卫星下行覆盖区域极大,因此根本无法准确追踪到这些网络威胁者接收器的实际位置。此外,Turla黑客小组还倾向于对位于中东和非洲国家(例如:刚果、黎巴嫩、利比亚、尼日尔、尼日利亚、索马里或阿联酋)的卫星网络提供商实施漏洞利用,因此要想抓到他们更是难上加难。 由于这些国家运营商所用的卫星通讯信号束无法覆盖欧洲和北美地区,这对大多数安全研究专家研究此类攻击造成极大的困难。 Turla黑客小组实施的一系列网络攻击至今已感染了超过45个国家(包括:哈萨克斯坦、俄罗斯、中国、越南和美国)的数百台计算机。Turla黑客小组无论是对政府机构和大使馆还是军事、教育和研究机构以及制药公司均十分感兴趣。 坏消息就说到这里。对我们用户而言,好消息是卡巴斯基实验室产品成功检测并阻止了Turla网络威胁者所使用的恶意软件。  

有史以来最严重的iOS数据盗窃—谁该为KeyRaider恶意软件而担心

尽管苹果iOS系统以其出色的安全性而著称,但最近三天iOS遭黑客入侵的新闻占据各大媒体头版,这也彻底颠覆了iOS以往在人们心中的印象。这一切都源于危害巨大的KeyRaider恶意软件的出现,目前已成功盗取了超过22.5万个iPhone手机账户。嘘! 但事实是大多数iPhone手机和iPad用户(事实上是几乎所有用户)大可不必担心。KeyRaider只会影响越狱设备 —但却无法黑客入侵那些并未越狱的iPhone手机。’合法’苹果设备的机主完全可以松一口气了。 每当提到苹果设备,无论是选择接受制造商设定的限制条件还是通过越狱设备获得更佳的个性化体验和全新功能,这都是你个人的自由。风险往往与自由并存,在获得自由的同时你也为恶意软件的入侵打开了方便之门。 因此,不对越狱自己的iPhone手机或iPad就能避免恶意软件的入侵,反之亦然。目前,KeyRaider恶意软件已波及了包括:中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国在内的18个国家。其中大部分的受害用户都来自中国。 如果你坚持越狱自己的苹果设备,也并不意味着就一定会遭受KeyRaider恶意软件的攻击。因为你只有从Cydia第三方源仓库安装任意一个应用程序才可能会感染病毒。安装完成后,你的设备将自动通过一个免费恶意软件升级,该恶意软件会盗取用户名、密码和独一无二的设备识别符,并将这些数据发送至由恶意黑客运行的远程服务器内。 此外,KeyRaider还会锁住你的苹果设备并要求支付恢复所有被锁文件的赎金。简而言之,这是一款讨厌至极的恶意软件。 2015年7月,WeipTech专家在获悉iPhone手机和iPad用户时常抱怨在自己的苹果设备发现未经授权的购买操作以及并未曾安装过的iOS应用程序后,及对此展开了调查。研究专家设法追踪了这些网络犯罪分子并成功破解了黑客的服务器。这些专家不仅收集数据甚至还对越狱应用进行了逆向工程,以找出其中的运行方式。 WeipTech专家们称这为有史以来针对苹果账户最大的数据盗窃。尽管恶意软件只影响越狱设备,但对于受害人而言却是致命的。大约有22.5万名苹果用户已不幸数据被盗。 如果你觉得自己的名字可能在受害人名单的话,请登陆WeipTech公司网站查看。网页只有中文版,但你可以用Google翻译。 WeipTech研究专家还提出了另一个替代方案。该操作指南相当专业,但能成功越狱iOS设备的’极客’绝对能应付得过来。好吧,操作步骤如下: 通过Cydia安装openssh服务器 通过SSH连接设备 前往/Library/MobileSubstrate/DynamicLibraries/,并在这一目录下的所有文件中查找这些字符串:wushidou、gotoip4、bamu和getHanzi。 如果你在这个目录下的任何文件中发现这些字符串中的任意一个,应同时删除这些文件和拥有相同文件名的plist格式文件。然后重启设备。这一切操作完成后,强烈建议更改苹果账户密码,并对苹果ID启用二元验证。

什么是漏洞利用以及用户害怕的原因?

安全专家们常常将漏洞利用称之为与数据和系统安全有关的最为严重的问题之一;尽管一般来说我们总难以区分漏洞利用和恶意软件之间的差别。但在这里我们将尽量详述其中的差别之处。 什么是漏洞利用? 漏洞利用是恶意软件的集合。这些恶意程序往往包含数据或可执行代码,能够利用在本地或远程计算机上运行软件内的一个或多个漏洞。 简而言之:在你根本不知情的情况下,浏览器内存在的漏洞允许”任意代码”在你的计算机系统内运行(例如:安装和启动某种恶意程序)。很多时候,网络攻击者实施漏洞利用的第一步就是允许权限提升,如此他们就能在遭攻击的系统内肆无忌惮地进行犯罪活动。 浏览器连同Flash、Java和微软办公软件都属于最容易遭受攻击的软件类型。由于这些软件使用相当普及,因此无论是安全专家还是网络黑客均对它们积极进行研究,同时开发者们也不得不定期发布相关补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过,但实际上却常常无法如愿。比如,在进行升级时必须关闭所有浏览器标签或文件。 另一个问题是对目前未知的漏洞进行利用,网络黑客们一旦发现后即大肆利用:即所谓的’零日漏洞‘。而软件供应商则在漏洞被利用后,才能了解问题所在并着手解决。 病毒感染途径 网络犯罪分子常常热衷于通过类似于社交工程的其它病毒感染方式实施漏洞利用–无论成功还是失败–对漏洞的使用不断转化为他们想要的结果。 用户通常通过两种途径不幸遭受漏洞利用。第一,通过访问含恶意漏洞利用代码的网站。第二,打开看似合法但实际上却隐藏恶意代码的文件。你们应该很容易能猜到,最有可能带来漏洞利用的不外乎垃圾邮件或网络钓鱼电邮。 一旦通过特定漏洞获得访问权,漏洞利用即会从网络犯罪分子的服务器载入其他恶意软件,从而执行各种恶意行为,例如:盗取个人数据,或者将受害人计算机作为僵尸网络的一部分来发送垃圾邮件或实施DDoS正如在Securelist上提到的,漏洞利用旨在攻击含有漏洞的特定版本软件。一旦用户使用该版本软件打开恶意目标,或网站运行类似版本软件的话,都会导致遭受漏洞利用。 攻击,无论如何都是为了实现背后不可告人的犯罪目的。 即使对于小心且勤于升级软件的用户而言,漏洞利用同样会构成威胁。其中的原因是网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差。在这段真空时间内,漏洞利用几乎可以为所欲为,会对几乎所有互联网用户的安全构成威胁 –除非用户系统内安装了自动防御漏洞利用攻击的工具。 还有不要忘了上述提到的’打开标签综合征’:用户常常需要支付一笔费用才能升级软件,且并非所有用户都愿意在补丁刚刚发布时就立即付款更新。 集群式漏洞利用 漏洞利用常常采用集群方式,因此首先需要对遭受攻击系统进行检测以确定漏洞类型;一旦确定一个或多个漏洞类型,接着就使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出,同时还对URL路径进行加密来防范安全研究专家将它们彻底根除。 下面是一些最知名的漏洞利用工具: Angler –号称是黑市上出售的最复杂的漏洞利用工具之一。该工具在开始检测反病毒软件和虚拟机(安全研究专家通常将其作为诱捕工具使用)后即会彻底改变整个”战局”,并同时部署加密的点滴木马文件。作为速度最快的漏洞利用工具之一,Angler还能并入最新发布的零日漏洞,同时其恶意软件无需对受害人硬盘进行读写,而是从内存中直接运行。有关该工具的技术介绍都在这里。   Nuclear Pack –通过Java和Adobe PDF的漏洞利用以及dropping Caphaw(著名的网银木马病毒)对受害人实施攻击。你可以从这里了解更多。 Neutrino –作为一款俄罗斯黑客编写的漏洞利用工具,内含大量Java漏洞利用,在去年名声大噪并屡屡登上新闻头条,原因是Neutrino的售价高达3.4万美元。随着Paunch(下一个我们将讨论的漏洞利用工具的作者)被抓捕归案,Neutrino很可能以如此高的天价被成功出售。 Blackhole Kit –2012年最广为流行的网页威胁,将存在于类似Firefox、Chrome、Internet

保护移动设备安全刻不容缓

众所周知,网络犯罪分子不遗余力地想让你的PC电脑或笔记本电脑感染病毒,或无所不用其极地诱骗你安装恶意软件。可能你还不知道,他们同样也无时不刻地想要盗走你的移动设备。网络罪犯早已熟知如何从黑客入侵你的智能手机中大发横财,从直接盗窃设备到更复杂的用你电脑进行比特币挖矿,可谓无所不用其极。 还有些特殊的木马病毒被乔装打扮成手机游戏或实用的移动应用程序。一旦不幸安装,木马病毒即会让手机自动拨打付费电话或订阅收费短信服务,从而让你蒙受巨大的资金损失。 你当然希望将自己辛苦赚来的钱用在刀刃上而不是莫名其妙就消失了。为此,你更应对自己移动设备的安全提高重视。下面的四条安全小贴士将助您保护自己移动设备的安全: 千万不要忘了为手机设置密码,这样其他人就无法访问你手机内的信息。 避免连接未知Wi-Fi网络–尤其是免费Wi-Fi–因为这些网络可轻易被用来收集你发送出去的信息。如果连接的网络无需密码登陆,则很有可能表示该网络存在危险。 即使移动设备丢失或被盗的话,也可采取一定的安全防范措施。启用’远程管理’和’备份’功能,或用手机的内置功能(例如:’Find iPhone’设置),当然也可以安装特殊程序。 不要忘了你的手机也处在受病毒感染的风险之下。不要下载未知应用程序,即使是来自官方应用商店。始终检查应用程序的请求权限–比如是否请求访问你的通讯录或照片。

勒索软件肆虐互联网:提高重视度刻不容缓

如今,勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为,似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增,但据卡巴斯基实验室的一项调查发现,仅有37%的公司将勒索软件视为严重的网络危害。

天真浪漫—并非互联网的正确生存法则

时刻保持警觉性,多用用大脑。如果你觉得记忆一长串可靠的密码过于枯燥的话,完全可以换种有趣的形式。事实上,要找到一种有趣的复杂密码记忆方式其实并不太难。当然,你也可以使用密码管理器。务必仔细阅读这些我们精心挑选的简单法则,可助你战胜网络犯罪分子。

互联网危险无处不在:小心病毒

你以为只有电影里才能看到黑客和网络间谍吗?那可大错特错了!互联网上充斥着各种奇怪的人和犯罪分子,伺机寻找机会控制你的Facebook页面、让你的智能手机感染病毒或窃取你的游戏账号。因此你一旦进入危险重重的互联网世界,需要时刻保持警惕!因此,为了你上网安全的考虑,请务必参考卡巴斯基实验室的建议。

保护用户的五大方式:欢迎来到我们的欧洲研究中心

就在昨天,卡巴斯基实验室中我最喜欢的一个部分—当然就是实验室本身–得到了进一步壮大,我们的首座欧洲研究中心正式成立了。对于那些始终奋战在对抗网络威胁最前线的“战士们”而言,这里将成为他们的家。在每一天临近结束的时候,这一全新的欧洲研究中不仅将有助于更好地保护欧洲用户,同时也包括全球其他地区的用户。

CozyDuke里根本没有猴子

作为’Dukes family’系列的另一种APT(高级持续性威胁),CozyDuke专门攻击机要机构和公司,其中就包括美国政府办公室。CozyDuke(同时还被称为CozyBear、CozyCar或”Office Monkeys”(办公室猴子))以一段有趣的视频作为诱饵,诱使受害人点击。

如何清除CoinVault勒索软件并恢复文件

在多数情况下,一旦你不幸成为勒索软件的受害人,对此可以说是完全束手无策。但幸运的是,警察和网络安全公司时常会采取联合行动,关闭勒索软件的命令和控制服务器并从中恢复一些重要信息。这些信息十分有用,因为其有助于编写解密工具并恢复用户的文件。最近,德国网络警察和卡巴斯基实验室联手创建一个解决方案以帮助CoinVault勒索软件受害人恢复文件。 如果你想了解更多有关CoinVault勒索软件的内容,可查阅我们刊登在Securelist网站上的详细报告。如果你也对我们是如何编写该解密解决方案感兴趣的话,在我们的博客文章中有详细的介绍。如果你碰巧正在寻找有关如何清除CoinVault勒索软件并恢复文件的方法的话,请参阅以下操作步骤。 第一步:确定自己的计算机是否真的感染了CoinVault勒索软件。 首先,确定你的文件的确是被CoinVault所盗而非其它勒索软件。确定的方法很简单:如果你的计算机被CoinVault感染的话,你将能看到如下图片: 第二步:获取比特币钱包地址 在CoinVault勒索软件界面的右下角,你将能看到比特币钱包地址(上图中用黑圈标记的地方)。复制并保存这个地址非常重要! 第三步:获取加密文件清单 在该恶意软件窗口的左上角,你将能看到’查看加密文件清单’按钮(上图中用蓝圈标记的地方)。点击这个按钮并保存为一个文件。 第四步:清除CoinVault 前往https://kas.pr/kismd-cvault并下载卡巴斯基安全软件试用版。安装完成后,该试用版软件将能从你的系统中清除CoinVault。确保已保存了所有从第二步和第三步中所恢复的信息。 第五步:访问https://noransom.kaspersky.com检查 访问https://noransom.kaspersky.com 网站输入在第二步中所获取的比特币钱包地址。如果你的比特币钱包地址已知,则IV(初始化向量)和密钥将会出现在屏幕上。请注意可能会出现多个密钥和IV。保存所有在计算机屏幕上出现的密钥和IV,后面你将需要用到。 第六步:下载解密工具 在https://noransom.kaspersky.com网站下载解密工具并在你的计算机上运行。如果你得到的是错误消息(如下图所示),进行第七步操作。如果没有错误消息,则跳过第七步直接进行第八步操作。 第七步:下载并安装另外的libraries(库) 前往http://www.microsoft.com/en-us/download/details.aspx?id=40779并遵照网站的使用说明。随后安装软件。 第八步:打开解密工具 打开该工具后你将能看到以下窗口: 第九步:测试解密程序是否运行正常 在首次运行该工具时,我们强烈建议您对解密程序进行测试。具体操作步序如下: 在”单文件解密”框内点击”选择文件”按钮,并选择你想解密的一个文件; 将来自网页的IV输入到IV框内; 将来自网页的密钥输入到IV框内; 点击”开始”按钮。 验证新创建的文件是否已正确解密。 第十步:解密所有被CoinVault所盗的文件 如果在第九步中操作一切正常的话,则能立即恢复你的所有文件。选择从第三步中所获取的文件清单,输入IV和密钥并点击开始。你完全可以根据自己的需要选择”对带解密内容的加密文件进行重写”选项。 如果你在输入比特币钱包地址的时候收到多个IV和密钥的话,这时候你就要十分小心了。因为我们无法100%确定比特币钱包的多个IV和密钥的正确来源。一旦出现这种情况,我们强烈建议取消勾选”对带解密内容的加密文件进行重写”的选项。如果在解密时出现错误的话,可以尝试不同的IV+密钥组合直到文件被成功解密为止。 如果你根本没有收到IV和密钥的话,应耐心等待并访问https://noransom.kaspersky.com检查。由于相关调查依然在进行中,我们将不断实时添加新的密钥。

你的PC电脑是否已成为了僵尸网络的一部分?赶快检查一下吧!

许多人都认为恶意软件是一种完全能破坏PC电脑正常运行功能的软件。如果你的计算机运行良好,这就意味着没有受到病毒感染,对吗?完全错误,恶意软件编写者们已不再是那些烦人的”网络牛仔”了。网络犯罪分子制造网络灾难的主要目的并非只是为了好玩,而是为了赚钱。在许多情况下,这一目的却导致了完全相反的恶意软件行为:最重要的信息永远不会让用户看到。 例如,此类’隐秘’动作通常就是僵尸网络的典型行为。普通僵尸网络通常由数千台PC电脑组成,如果要说是最大的僵尸网络的话,可能操控着数十万台PC电脑。而计算机用户者对于他们的计算机已受到病毒根本毫不知情。他们只能感觉到自己的PC电脑运行速度似乎慢了一些,但这对于PC电脑来说再平常不过了。 设计僵尸网络的目的旨在收集包括:密码、社会保险号、信用卡个人资料、地址以及电话号码在内的各种个人数据。这些数据可能被用于各种网络犯罪,包括:身份盗用、各类网络欺诈、垃圾邮件以及其它恶意软件传播等。僵尸网络还可用于对网站和网络发动攻击。 而摧毁一个大型僵尸网络则需要众多合作方在付出巨大努力下才能完成。近期的例子则是被认为已在190多个国家感染超过77万台电脑的Simda僵尸网络。其中,美国、英国、土耳其、加拿大以及俄罗斯等国受到的影响最大。 Simda作为一种”可供出售的僵尸网络”,被用于传播非法软件以及各种类型的恶意软件,其中有一些则能盗取资金凭证。而具体恶意程序的编写者则在每次安装后简单地支付给Simda僵尸网络所有人一笔费用。换句话说,该僵尸网络是恶意软件’制造商’的一种大型交易链。 僵尸网络横行互联网已有数年之久。为了让恶意软件发挥出更大的”功效”,Simda僵尸网络所有人在不断开发新版本同时,还频繁地每隔几小时就创建和传播一次。就目前而言,卡巴斯基实验室的病毒采集库内包含了属于各个Simda恶意软件版本的26万多个可执行文件。 与此同时,就在4月9日(周二)当天,分别位于荷兰、美国、卢森堡、俄罗斯以及波兰境内的14台Simda僵尸网络命令和控制服务器被关闭。 参与当天”关闭服务器”行动的组织可谓数量众多,因此也表明Simda僵尸网络的复杂程度可见一斑。包括国际刑警组织、微软、卡巴斯基实验室、趋势科技、Cyber Defense Institute、美国联邦调查局、荷兰国家反高技术犯罪机构、卢森堡Nouvelles Technologies公司的Police Grand-Ducale部门以及俄罗斯内政部’K’部门在内的众多组织均联合参与了本次打击网络犯罪分子的行动。 “由于僵尸网络是一种地域分散式网络,因此通常很难将其彻底摧毁。这也是为什么尤其需要私人和公共部门的携手合作–各方都必须尽自己的最大努力为整个联合行动做出贡献。”目前正与国际刑警组织紧密合作的卡巴斯基实验室首席安全研究员Vitaly Kamluk如是说。”在本次行动中,卡巴斯基实验室的职责是提供僵尸网络的技术分析、从卡巴斯基安全网络收集僵尸网络的遥测数据以及为行动策略提供建议。” 由于相关调查依然还在进行当中,因此要找出Simda僵尸网络的幕后黑手还需时日。但对于用户而言最重要的是:网络犯罪分子用来与受感染计算机通讯的操作、命令和控制服务器已被关闭且彻底摧毁。尽管Simda僵尸网络的运行暂时得以终止,但那些PC电脑受感染的用户依然应该尽快清除这一恶意软件。 通过使用从Simda僵尸网络命令和控制服务器恢复的信息,卡巴斯基实验室创建了一个特殊页面可用于检查您的计算机IP地址是否在受感染清单中。 此外,还可使用免费的卡巴斯基安全扫描工具或下载功能更为强大的3个月有效的卡巴斯基安全软件试用版,则可确保您的PC电脑万无一失。当然了,所有卡巴斯基实验室解决方案均能检测出Simda恶意软件。有关Simda僵尸网络的更多信息将访问Securelist作进一步了解。

深度解析:影响硬盘的5种威胁

我们习惯于将IT安全概念分为两个不平等的类别进行讨论:硬件和受到高度重视的软件。硬件通常被认为相对安全和干净—而与之相反的是,软件常常遭受bug和恶意软件的危害。 这一评估体系已存在很长一段时间,但最近却显示出改变的迹象。负责管理各独立硬件部件的特定固件也变得愈加复杂起来,因此其漏洞更容易被利用。最糟糕的是,很多情况下现有威胁检测系统根本形同虚设。 为了进一步了解这一危险趋势,下面我们将介绍在如今PC电脑内近期所发现的5个最危险硬件漏洞。 #1. RAM 如果要列一个硬件威胁排行榜,毫无疑问DDR DRAM安全问题将排在首位,而且这个问题无法通过任何软件补丁予以解决。这个漏洞被冠以”Rowhammer”之名,但令人意想不到的是,该漏洞是由硅产业进步所造成的。 由于集成电路的几何结构不断变小,焊接在芯片上的临近硬件元件之间的距离也越来越近,竟然开始互相干扰。在如今的存储芯片内,一旦从临近的单元随机发出电脉冲,可能会导致记忆单元之间的自发性转换。 直到最近,这一现象无法适用于任何现实中通过PoC(概念验证)来利用漏洞(可能有助于网络攻击者获取对受影响PC电脑的控制)的观点才被广泛认可。然而,一支研究人员团队通过使用PoC,设法在总共29台笔记本电脑中的15台提高了系统权限。 这正是PoC的工作方式:为确保安全,只有指定程序或操作系统进程被允许更改RAM内的某个数据区块。简单地说,一些重要的处理功能被允许在”一座受到良好保护的建筑”内进行,而其它非信任的程序则全部被挡在”前门”的外面。 然而,事实证明如果有人门前重重地跺脚(即快速且高频地更改存储单元的内容),则这扇门的锁肯定会损坏。”门锁”如此不可靠的事实也只是最近才了解到的… 而基于更新标准的DDR4以及启用奇偶校验的RAM模块(成本更为昂贵)可抵御此类攻击。这是好消息。但坏消息是,很大一部分的现代PC电脑dom盘在上述提到的黑客攻击下极易受遭受黑客入侵,且没有任何解决方法。唯一可行的解决方案是更换所有RAM模块。 #2. 硬盘 既然我们谈到了RAM,那就不得不再提到硬盘的问题。正巧近期卡巴斯基受委托对Equation网络犯罪小组进行调查研究,我们才能得知硬盘内控制器固件可能含有大量有趣的”古董技术”。 例如,这些包含恶意软件模块的固件会夺取受感染PC电脑和运行的控制权,基本上都在’上帝模式’下进行。一旦遭受此类黑客攻击后,硬盘将遭受无法修复的损失:受到恶意代码感染的控制器固件会隐藏含有恶意软件的扇区,并阻止任何修复固件的尝试。即使格式化也无济于事:清除恶意软件的最可靠方法就是彻底销毁受黑客入侵的硬盘。 好消息是此类网络攻击不仅需要耗费很长时间,也需要支出不菲的成本。因此,绝大多数用户完全可以高枕无忧,无须担心自己的硬盘被黑客入侵。除了那些储存有宝贵数据的硬盘,但过高的攻击成本也让黑客们不得不三思而行。 #3. USB接口 占据我们排名榜第三位的是影响USB接口的漏洞(尽管有点过时但影响依然巨大)。但最近的新闻显示这一长久以来存在的bug似乎已得到修复。如你所知,最新的苹果MacBook和Google Pixel笔记本电脑均配备有万能USB端口,除了传输数据以外还可用于充电。 乍一看下并没有什么问题,最新的USB修正版是一种出色的接口统一方法。然而,通过USB连接任何设备都有可能存在一定的危险性。我们之前曾介绍过BadUSB,是于去年夏天发现的一个重要漏洞。 这一bug能让不法分子将恶意代码植入USB设备控制器(无论是拇指驱动器、键盘还是其它)。任何一款反病毒软件(包括功能最强大的产品)均无法检测出来。那些高度重视数据安全的用户应该听从itsec专家的建议:为了降低风险而不再使用USB端口。而对于最新的MacBook笔记本而言,这一建议毫无用处:因为不管怎么样,笔记本都是需要充电! 怀疑论者可能会指出通过充电器植入恶意代码根本不可能(因为没有数据存储空间)。但这一’问题’可通过对充电器进行’强化’得以解决(早在两年前,就曾演示过通过充电器将恶意代码植入iPhone手机方法的PoC)。 在将恶意软件植入充电器后,黑客攻击者需要将”含有木马病毒”的充电器放置在公共区域;或在锁定攻击目标后,将原有充电器换成”含有木马病毒”的充电器。 #4. Thunderbolt接口 排名第4的是另一个接口漏洞,将Thunderbolt接口作为攻击目标。不幸的是,通过Thunderbolt连接设备也可能会产生危险。将Mac OS X产品作为攻击目标的单独PoC是于去年年末由安全研究人员Tremmel

Superfish:联想笔记本电脑内预装的广告软件

2015年2月19日,联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光,而两大主要问题也随之而来。 其一,在2014年9月到2015年2月这几个月内,联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二,则与Superfish的运行行为有关。该广告软件能够生成自签名证书,可能允许恶意第三方拦截SSL/TLS连接,更简单地说,就是在网页浏览器会话内添加“https”链接。 现在,让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图,并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标,显示的是SSL证书的信息: SSL证书由CA证书授权中心签发,确保网站的归属性。比如,VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化?原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是,网页浏览器将Superfish生成的证书当作合法证书对待。因此,CA证书授权中心变成了Superfish,而不再是VeriSign。 此外,生成证书的私人密钥被包含在了软件内,任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功,任何怀有不良企图的人都可以拦截通过加密连接传输的数据,或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件(在Windows控制版面内卸载)和Superfish证书(从受信任的Root认证机构清单中删除)全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件:AdWare.Win32.Superfish.b。 此外,联想也在其安全公告(LEN-2015-101)内提供了自动删除Superfish工具的下载。

  • Onuma

Desert Falcons:中东顶尖的APT黑客小组

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁(APT)的黑客小组。该黑客小组被冠以”Desert Falcons”(沙漠猎鹰)的称号,总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务,并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。 他们的”攻击武器”种类繁多,包括:自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息,随后被用于进一步的犯罪活动,甚至用来对受影响目标进行敲诈勒索。 据卡巴斯基实验室全球研究和分析小组表示,该APT黑客小组之所以将这些受害人选定为攻击目标,目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。 这些受害人总共被窃取了超过100万份文件。 “这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括:大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。” Desert Falcons攻击致使大约3000人受到影响,范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内,但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。 受害人有些来自军事和政府组织;有些任职于卫生组织以及反洗钱、经济和金融机构;还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工;当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。 Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门,即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外,他们还采用了可暗中监视短信和通话记录的安卓版移动组件。 有趣的是,研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露,该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天,即通过常规Facebook页面与攻击目标取得联系,在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。 该黑客小组早在2011年就开始构建其工具,并于2013年首次成功感染,而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。 卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

Equation网络间谍开发出”坚不可摧”的恶意软件–但还不用过于恐慌

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告,其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件,但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程,进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”,但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而,我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先,让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质(传统硬盘使用磁盘,而固态硬盘则采用闪存芯片)和微芯片,而后者则真正控制对硬盘的读写以及许多服务程序,例如:错误检测和修正。由于这些服务程序数量众多且相当复杂,因此从技术上说,一块芯片就好比是一台小型计算机,用于处理各种复杂的程序。芯片的程序被称为固件,而硬盘供应商可能不时需要对其进行升级更新:修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用,从而能够将其自己的固件下载到12种不同类型(按不同供应商/差异区分)的硬盘。修改后固件的功能依然不得而知,但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存,并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作,固件都是依靠自身检查和重新编程,因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说,受感染的硬盘固件根本无法被检测出,因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃,重新买块新的。 但是,不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已,因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先,对硬盘重新编程相比写入而言要复杂得多,可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵,此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档(几乎不可能),购买一些同一型号的硬盘,编写和测试所需的功能并将恶意程序植入现有固件,与此同时还需要保持其原先的功能。这是一个浩大的工程,需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中,几乎不太可能使用此类隐藏技术。此外,固件开发显然只能小范围进行,无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件,新型号产品也层出不穷,因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现(也没有这个必要)。 因此,真实的情况是–感染硬盘恶意软件不再是传奇了,但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘,除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意,比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。

世纪最大劫案: 黑客盗用十亿美元

高级持续性威胁(APT)是信息安全专家常常挂在嘴边的话题,这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说,这种威胁似乎与己无关。 对于公众来说,最广为人知的一些攻击类似于间谍小说中的情节。直到最近,APT还不是人们关注的话题,因为绝大多数APT针对的是政府机构,其中所有调查细节高度保密,并且实际造成的经济影响难以估计,原因显而易见。 然而,今时不同往日:APT已将触角伸入商业领域,更准确的说是银行业。结果可想而知:以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网,黑客利用定向钓鱼邮件来诱导用户打开邮件,借机使用恶意软件感染电脑。一旦成功,黑客就会在用户电脑上安装一扇后门,后门基于Carberp银行恶意软件源码,此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后,黑客会以此电脑作为入口点,探测银行内网并感染其他电脑,目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后,黑客将研究银行使用的金融工具,并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后,为了完成行动,黑客会根据具体情况定义最为便利的方法来盗取资金,他们或者使用电汇转帐,或者建立一个假的银行账户,利用钱骡直接取现,或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月,从感染电脑的第一天开始算,一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元,即便分别来看,此金额也相当惊人。假设有数十家,甚至上百家金融机构因APT攻击导致资金被盗,累计总损失很有可能达到10亿美元,令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前,Carbanak蔓延范围不断扩大,目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息,Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间,攻击高峰时间是2014年6月。 很明显,除非被捕,否则黑客绝不会就此罢手。目前,众多国家网络防御中心和多家国际机构,包括欧洲刑警组织(Europol)和国际刑警组织在内(Interpol)都展开了调查行动。卡巴斯基全球研究分析小组(GReAT)也在其中贡献了自己的一份力量。 如何防御这种威胁? 下面要告诉卡巴斯基用户一些好消息: 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本:Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平,我们建议您启用主动防御模块,卡巴斯基的所有产品版本中都含有此模块。 此外,还有一些小贴士,可保护您不受这种及其他安全威胁: 绝不打开任何可疑电子邮件,尤其是带附件的邮件。 定期更新使用的软件。例如,这次攻击行动利用的并不是零日漏洞,而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测:此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息,请查看Securelist上的相关博文。