揭秘网络犯罪(1)：他们如何入侵

ZDNet安全频道原创翻译 转载请注明作者以及出处

为了获得犯罪软件工作原理方面的更多信息，笔者与Joe Stewart先生，一位来自SecureWorks受到高度推崇的恶意软件研究专家进行了深入的交流。
-------------------------------------------------------------------------------------------

　　现在，笔者发现自己的疑问有很多。对于恶意软件，笔者特别想进行更深入的了解。经过初步研究，笔者将目标锁定在两种木马Zeus和URLZone上。Stewart先生不仅同意这一观点，而且也具备足够的能力。他给笔者留下的最深刻印象是，没有一件事是肯定的，因为它总是处于不断变化的状态中。

　　不断变化的风险

　　实际上，尽管这两种木马程序包非常成功，但这并没有让他们的开发人员停止对恶意代码的改进。这种现象，被Stewart先生称之为：“不断变化的风险”。他进一步解释说，网络犯罪也是一种商业模式，为了保证收入来源，坏人也要确保其产品处于正常工作的状态。

　　这种不断变化的特性使得犯罪软件只能在“事后”才会被确定，这对于安全研究人员来说，是一项艰巨的任务。但是，接下来的一份事件报告显示出一条不同的路线来。不过，笔者认为大家首先要做的还是了解一下Zeus和URLZone的情况。

　　商业木马软件：Zeus

　　Zeus是一种采用了模块化程序结构的木马，并且是以商业软件的形式出售：价格需要询问才能得知，不过似乎平均价格在700美元左右。RSA信息安全公司的反欺诈中心已经发现了数百个不同的变种，每个变种每天都感染数以千计的计算机系统。

　　笔者不知道我们是否应该感到惊讶，Zeus包含有一份最终用户许可协议。赛门铁克的研究人员在对Zeus进行分析的时间发现了最终用户许可协议，并将内容翻译出来，如下图所示：

　　1、任何没有拥有发行权的商业公司或者企业不得销售相关的产品。

　　2、禁止对程序的二进制代码进行分析和复制。

　　3、禁止利用控制台功能来对其它僵尸网络进行控制或者用于其它任何目的。

　　4、反病毒公司和其他类似机构没有权力蓄意清除软件中的任何部分。

　　5、销售方承诺在软件出现错误的时间予以更新，并支持付费获得更多的新功能。

　　不象大多数最终用户许可协议，这份协议的内容简短而中肯。笔者必须说，在很多通常的最终用户许可协议中，笔者都没有看到过第四点。为了表明他们是非常认真的，开发团队还给出了警告(位于红色框中)：

　　“一旦违反最终用户许可协议的情况被发现，客户将立即丧失所有的技术支持。此外，软件中的二进制代码将被立即传送到反病毒公司。”

　　二进制代码

　　刚开始，笔者并不明白该警告的意义，直到了解到Zeus实际上是一个二进制发生器。这意味着Zeus木马的每一个迭代都是不同的。这样就可以降低反病毒签名文件的效果。

　　银行类犯罪软件

　　看起来Zeus的开发目的就是从网络银行使用者那里窃取资金。这就是它最主要的功能：

　　· 检测输入的银行信息。

　　· 查看实时屏幕截图并远程控制显示器上的显示信息。

　　· 利用专业的键盘记录工具窃取密码和其他登录信息。

　　· 对窃取的信息进行加密，并利用即时通讯工具Jabber将信息传送到攻击者的服务器。

　　Stewart先生指出，Jabber的使用让Zeus增加了一个新层面。它允许犯罪分子实时取得登录凭据。这意味着有可能一次性密码仍然有效。RSA的FraudAction研究实验室对整个过程进行了解释：

　　1、攻击者利用Zeus木马的一个变种通过在线网络攻击感染到合法用户的计算机。

　　2、攻击者将窃取的信息发送到Zeus木马所在的服务器。

　　3、Jabber的即时通讯模块对服务器上的帐户数据库进行搜索，查找具体组织(通常是金融机构)对应的信息。

　　4、Jabber的即时传输模块将具体的帐户信息通过“发送”帐户进行传送。

　　5、在被盗用户的系统中，攻击者很快就可以收到来自Jabber“接收”帐户的信息。

　　6、依靠这些用户信息，攻击者就可以登录到该帐户中并进行欺诈性的资金转移。

　　笔者原来以为Zeus的自动化程度非常高。但Stewart先生纠正了笔者的错误认识，他指出Zeus在使用过程中需要用户的大量干预。具有讽刺意味的是，这就是为什么Zeus使用效果这么好的原因。网络犯罪分子可以根据新格式、银行在交易过程中的改变灵活地作出调整。屏幕截图加上关键词记录工具让攻击者拥有了进行非法交易的所有必要因素。

　　看起来Zeus就象是在费尔马银行帐户盗窃案中使用的犯罪软件。不过，在了解URLZone之前，笔者建议你先不要轻易下结论。

　　结构更复杂的URLZone

　　在犯罪软件世界另一头的的是URLZone。作为木马工具，它的效果和Zeus类似，但工作原理却是截然不同。这种差别让URLZone显得更复杂，而且就是它为什么没有Zeus更流行的原因。也可能是笔者甚至无法找到它的传播途径和价格的原因。

　　使用URLZone木马套件，网络犯罪分子可以得到一个URLZone生成器。攻击者使用该工具创建一个包含有关银行门户网站的信息有针对性的配置文件。稍后，我们将看到该文件是如何开始发挥作用的。

　　在受害者的计算机上加载URLZone时，攻击者需要使用一种叫做LuckySploit的工具包。在运行Windows操作系统的计算机上，恶意软件可以利用火狐、Internet　Explorer和Opera等网络浏览器中的安全漏洞进行活动。

　　初始设置

　　一旦计算机上加载了URLZone，它就可以创建一个版本标识并将信息发送回命令和控制服务器。接下来要做的就是，从命令和控制服务器下载配置文件，并将其加密后保存在本地文件中。URLZone还可以将自己加入启动列表中，这样的话，只要计算机处于运行状态，它就处于激活状态。

　　URLZone的工作过程

　　一旦被激活，每隔几个小时URLZone就会检查命令和控制服务器的更新情况。在本地系统中，URLZone也不断进行检查，看看是否有任何文件或网络浏览器开始运行。

　　如果URLZone找到一个运行中的浏览器，它会立即开始利用陷阱模式入侵并查询HTTPS传输的数据。这就是URLZone的危害之所在。它收集通过传递模式发送的HTML数据(和HTTPS流量有关)，这样的话，就有可能获得大量和登录凭据或交易信息相关的数据。

　　如果这些数据被发现，配置文件被打开，就会有一些有趣的事情发生。下面就让我们来看一下，Finjan公司对URLZone恶意软件的分析概述：

　　1、如果网站符合配置文件中指定的银行门户网站，受害者机器上的恶意软件将截取屏幕信息并发送到命令和控制服务器上。

　　2、当用户确认交易信息后，URLZone将利用指定的配置文件更改帐号和金额。

　　3、URLZone将该文件发送回指挥和控制服务器。

　　4、银行门户网站接收信息并完成交易。

　　5、URLZone返回交易信息，以避免用户产生怀疑。

　　对于受害者来说，只知道交易是成功的。但实际上，不仅仅金额是不同的，而且这笔钱被转移到的是钱骡(money　mule)的账户中，而不是受害者预期的帐户中。

　　Stewart先生的想法

　　在和Stewart先生的交流中，笔者受到了很大的启发。笔者想起了一个很多年前祖父讲述的故事：

　　“一只熊在追逐两名猎人。一名猎人问他的同伴，跑不过熊该怎么办?他的同伴回答到，没有必要跑过熊，他所有要做的就是跑过他就可以了。”

　　就象那只熊一样，网络犯罪分子关注的目标始终是最简单的。现在，作为美国人，我们在网络银行安全方面已经落后了。根据来自欧洲的TechRepublic成员的意见，这一点是非常明显的。

　　在这里Stewart先生并没有就此打住。他说，当美国的金融机构认识到这一点时，网络犯罪分子就会找到下一个最简单的目标，考虑到这一点，他解释说，只有两种方法，可以防止越来越多网上金融交易被劫持的事件发生：

　　· 采用专用计算机，机器中仅安装运行操作系统和网络浏览器，禁止安装其他应用程序(特别是电子邮件)。确保操作系统和网络浏览器安装了最新更新补丁。最后，该计算机只允许访问必须的金融门户网站，禁止访问任何其他网站。

　　· 使用了带外通信方式(从用户到银行的短信)来核实交易。

　　Stewart先生让笔者确信这一点。其它的方式也可能有效，但问题的关键在于效果能持续多久?

　　最后的思考

　　在前面的文章中，我们似乎认为虚拟机、LiveCD环境或沙箱技术都可能是答案。现在，这一新信息是否改变了你对安全的认识?现在，你认为是哪种木马被用来窃取费尔马的44.7万美元，Zeus还是URLZone?

　　在这里笔者要感谢来自SecureWorks的乔·Stewart和Elizabeth Clarke抽空回答笔者的问题，让我们对这个复杂问题有了全新的认识。

　　“提高就是要改变，而要达到完美就要不断改变。”

——温斯顿·丘吉尔　(1874——1965)

【相关阅读：揭秘网络犯罪(2)：我们如何应对】