科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道“三反”新安全—钓鱼、欺诈、垃圾邮件之攻防演义

“三反”新安全—钓鱼、欺诈、垃圾邮件之攻防演义

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近两年来,伴随着全球范围内愈演愈烈的垃圾邮件泛滥,各种网络钓鱼、用户欺诈等安全威胁接踵而来。无论对企业还是对个人,此类威胁手段的变化之快令人防不胜防。毫无疑问的是,随着渗透其中的非法牟利情节的日趋严重,这类安全威胁的破坏力越发凸显。

作者:TT中国 来源:TT中国 2008年5月28日

关键字: 垃圾邮件过滤 反垃圾邮件 垃圾邮件

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

● 平台化袭击
如果说Feebs和Clagger开启了多渠道攻击的大门,那么Storm的出现则将平台化攻击引入现实。

据Cisco中国公司的安全专家透露,Storm系列恶意软件联合新开发的和现有的恶意软件技术,创建了一个高度复杂的攻击平台。Storm将不同的技术整合成一个更大的系统,无论是在源头还是规模方面,这个系统都更难于追踪,其行动快速,动力十足。作为混合性威胁,它使用电子邮件和Web进行双重攻击。

事实上,Storm的可怕之处还不仅如此,其威胁的精髓在于整合后的“饱和攻击”。对此吴若松解释说,在安全业界Storm经常被称作:Storm木马、Storm僵尸网络、Storm蠕虫、Storm垃圾邮件引擎、Storm分布式拒绝服务网络。他认为多种叫法说明了Storm具有各种特征,也说明它是一种新型的恶意软件—可重复再生的恶意软件。这种威胁将钓鱼、欺诈、恶意软件、木马、入侵等多种手段集于一身,防不胜防。

目前来看,能够称之为“平台化袭击”的技术前提至少有六个。

第一,能够实现自我繁殖。Storm以发送海量垃圾邮件方式进行扩散。用户被指向多个不断变化的HTTP URL,这些URL为Storm恶意软件服务。系统如果被感染,就会成为Storm网络的一部分。

第二,对等性。以前的僵尸网络是通过一个分等级的管理结构被集中控制,Storm节点通过独特的对等通信协议互相联络。所以,要追踪其总规模十分困难。

第三,协作特性。Storm发送指向其他Storm电脑托管的网页的垃圾邮件,其网络发起攻击的方式异常复杂。

第四,可重用性。以前的恶意软件攻击是神风突击队式的。一旦发动,就会一直运行,直至油尽机毁,最终在互联网中消失。而Storm 不是一次性的恶意软件。它是一个可以改变、延伸和重用的平台。这种适应性使得它在2007年生存、发展下来,并迈进2008年。

第五,集成性。Storm可用来发动多种攻击,如垃圾邮件、网络钓鱼和DDoS等。它还因危害IM网络和张贴垃圾博客信息而成为多种网络协议的主要威胁。

第六,自我防御。作为平台化袭击的核心,Storm能够监控逆向工程或分析迹象,针对研究者和反垃圾邮件组织反复发动拒绝服务攻击。

不难看出,如此复杂的攻击平台并非出自个人黑客之手,事实上,为了实现经济利益,Storm已经在联合全球的黑客组织进行专业化开发。根据目前披露的信息可以发现,Storm集电子邮件和Web攻击于一身,形成一个双重攻击系统,随之形成了一种有趣的同步现象:Storm僵尸网络发送垃圾邮件,其他僵尸网络专注于恶意网页。这样一来,就大大提高了网络钓鱼和交易欺诈的效率。

此外,为了使Storm病毒的危害更大,很多专业的黑客在其中加入了“Drive-by”浏览器劫持程序,无须下载任何可执行文件,仅仅通过浏览网页就能够感染易受攻击和未打补丁的电脑。

一旦用户中招,被Storm感染的系统将连接成一个对等的P2P网络,以保持冗余和分布式通信。在Storm出现之前,僵尸网络依靠集中指挥和控制的结构。它们经常使用IRC通道,等待操纵者的指令。但是,这种设计有一个弱点,通过关闭中央IRC通道或阻截对其的访问,就能有效地使僵尸网络“身首异处”,使之成为一堆废物。Storm吸取了这些弱点的教训,转而采用分布式指挥和控制结构。

为了保持生命力和预防逆向工程,Storm具备了自我防御特性。如果对它的检查太接近,它会自动地发动分布式拒绝服务攻击。根据IDC的统计,在2007年底Storm曾反复攻击了开展僵尸网络分析研究人员的系统。据悉,这样的DDoS能力也被用来对付诸多反垃圾邮件和计算机安全组织。

在此情况下,当一个新的系统加入Storm网络,它会被用来执行各种类型的攻击,包括:发送Storm吸收垃圾邮件以发展Storm网络;为网络钓鱼和恶意网页服务;攻击即时通信客户;提供Fast-fulx和DNS解决方案;在网站上张贴垃圾博客信息。

据调查,Storm僵尸网络能够根据需要改变用途,进行循环攻击。整个网络能够保持同步和协作,以确保垃圾邮件与基于Web的登录页面的联系。

目前来看,Storm的开放性使操纵者能够重新定向计算资源,以新的指令更新被感染的系统,从而发起“饱和攻击”。

● 商业化运作
多年来,病毒、木马、恶意软件都是主要通过电子邮件进行感染。但随着威胁的不断发展,以及大量威胁与金钱的捆绑特性,一些商业化的“黑客公司”开始在网络上大肆运作。其中最臭名昭著的就是来自俄罗斯的Dream Coders Team(DCT)“公司”。

本报今年第二期曾对DCT的背景进行过简要介绍,该公司创始人Robert Lemos是俄罗斯的著名黑客,不过他并不满足于普通的攻击或者入侵,而是将自身的经验转化为MPack恶意软件包,并成立公司在互联网上进行销售。

Mpack的设计初衷就是针对Web进行攻击,其设计理念源于PHP技术,只不过MPack采用商业化的设计、更新、支持和销售方法。

基本系统售价为500~1000美元。在为期1年的时间内,DCT公司将提供各种系统的新漏洞升级服务,并支持附加的MPack工具。附加模块的价格从50美元到300美元不等,“用户”可以购买针对最新弱点的模块——弱点越严重,系统就越容易被攻破,模块价格也就越高。

此前Robert Lemos在接受《Security Focus》的采访时表示,他并不会对被MPack袭击的用户感到难过,他认为,他们只是一家提供弹药的公司。事实上,销售并使用恶意软件并不新鲜,但提供服务和支持却是首开先河。MPack以及DCT本身创造了一个市场,提供增值销售附加模块,并为其销售的恶意产品提供随时的支持。

对此吴若松表示,MPack与Storm类似,采用双重攻击的方法感染用户的计算机。据悉,Mpack的“客户”购买Mpack恶意软件包只是第一步,为了实际进行感染,他们必须在受害者的计算机上装载软件包。

根据美国ISS实验室的检测报告,MPack最善于袭击没有安装补丁的系统。事实上,Mpack攻击旨在击中大量系统,这些系统几乎没有什么活动能够逃过攻击者的监控。为了监控感染率,MPack工具包提供了管理接口,记录浏览每个受感染网页的系统数量和成功的利用软件包数量的统计数据。该接口将感染率按照地域进行分解,并监控哪些攻击案例是该软件包最为成功的。这些统计数据和指标使Mpack的“客户”能够衡量攻击的有效性并确定自己的投资回报。这些回报包括了基于MPack开展的网络钓鱼成功率、网络欺诈的有效率等等。从安全公司统计的结果看,Mpack的设计和此类攻击的频率显示两者都有可能继续增长。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章