【51CTO.com 综合消息】尽管恶意软件通过公共资源进行更新已经不再是什么新鲜事,但RSA FraudAction研究实验室最近发明这种托管方法被用于把持一种银行木马,即“巴西银内行”木马家族的一个变种。
实际上,容许用户上传所有类型的内容,并随后在有序表单中,没有换行符,如HTML标签所表现的单行换行符予以发布的网站,都能被用来存储木马的加密配置。这包含几乎所有的可以不受限制的发表评论,创立公开人物介绍和设置消息组的社交网络及web 2.0平台。
向银行木马发送命令和把持
“巴西银内行”是一种将巴西的银行和其他拉丁美洲银行的客户作为攻击目标的金融木马。 有关“巴西银内行”变种加密指令(见图1)的社交网络人物介绍,在我们发明该木马配置点之后不久,这些违法内容就被该社交网络的支撑团队所处理和删除。需要着重指出的是,这家社交网站无法防备被上述这样的方法所利用。任何可以发表用户自行输入内容的网站都容易受到这种滥用的攻击,而它赋予用户的自由则恰恰可以被利用。
图1 用作木马加密配置的社交网络人物介绍:
其工作原理如下:
◆暗藏在恶意软件背后的黑客为 “Ana Maria”的用户创立了一条假的人物介绍,并以文本的方法输入恶意软件的加密配置设置,随后上传至该人物介绍中。
◆恶意软件在用户机器上自行安装后,就会在人物介绍中搜索字符串EIOWJE(上张屏幕截图中用下划线标示)。这个字符串意味着恶意软件配置指令的起始点。
◆EIOWJE字符串之后的所有加密命令被恶意软件解密并在被沾染盘算机上履行。
上述方法可以让黑客无需租用专用的防弹服务器或为恶意软件的通信点注册域,就能够发送加密的命令。据报道,另一个被利用为木马运行命令和把持点的公共资源是Twitter的RSS产品。在这个示例中僵尸牧人的把持方法如下所示:
◆讹诈者创立一个假的Twitter账户。
◆通过登录指定的电子邮件账户,木马定期在通过Twitter RSS发送的状态更新中检查新的指令。每个新的命令都显示为状态更新,并且包含有木马需要履行的新命令。
有个犯法分子甚至更进一步,创立了一个基于Twitter的僵尸网络建立程序。另一个案例利用了Google Groups:在受害者盘算机上完成自行安装后,木马就登录到Google Gmail账户,并从该犯法分子预先为木马操作而创立的特定假消息组恳求页面。木马随后履行消息组最新页面中指定的命令,并将其回复作为帖子上传至同一个消息组中。
互联网安全公司之前已经报告过,包含有大批人物介绍的Web 2.0平台,诸如社交网站和webmail供给商,正被木马把持者利用来存储恶意软件配置文件:◆犯法分子不需要为其命令和把持点(也称为更新点)购置和保护域名。
◆犯法分子不需要为他们的运动购置或保护专用的防弹服务器。◆公开的人物介绍或账号一旦被这些服务删除,新的人物介绍或账户就能够快速、免费地创立。
从犯法分子的角度来看,对公共资源的利用可能更加难以发明。仅仅通过扫描可疑URL检测托管于公共网站的木马相干通信资源实际上已经几乎不可能。这些资源请求安全公司安排其他的检测方法。
值得一提的是,尽管存在着许多优势,但将通信资源托管于公共资源之上的银行木马攻击还相当少见;目前这种方法仍然规矩之外的一种异常方法。通常,在检测到要挟并通知相应的支撑团队后,这些命令和把持点的删除还是非常简略和快捷的。
相关阅读