扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近来,专门利用热门软件漏洞来攻击单一特定对象的恶意软件攻击越来越普遍。在颇为知名的“Aurora”恶意软件攻击 Google 以及至少其他二十多家公司之前,锁定单一目标的恶意软件攻击就已经相当普遍,而且不断入侵政府机关、军事单位、民间企业、教育机构以及一般民间网络。虽然美国政府与相关网络遭到此类攻击已不是新闻,但越来越多其他国家的政府和民间机构也面临了同样的威胁。
今年稍早,加拿大、韩国和法国政府一些敏感的网络都曾发生严重的信息安全事件。最近,欧盟执行委员会(European Commission) 与欧盟对外事务部(European External Action Service) 也都遭到入侵。此外,信息安全厂商 RSA 与 Comodo 也都坦承发生安全事件,其中,至少 RSA 的案例看来就是一起锁定单一目标的恶意软件攻击。
是技术高超还是瞎猫碰上死耗子?
这类攻击经常被形容为技术高超或专门针对被害人的攻击,不论是哪一种说法,基本上就是表示攻击得逞。这类事后的描述经常暗指攻击者完全掌握了受害者的漏洞,在某些情况下,甚至完全符合他们的期望。我们很难根据那些模糊的公开信息来判断这些说法是否属实。所以,本文无意驳斥这些说法,只是希望强调,攻击者之所以能够锁定单一目标、具备精密的攻击技巧,全靠日积月累的知识,而非高超的工具和方法。
虽然大多数的因特网使用者可能一辈子也不会成为黑客锁定的单一目标,反倒比较容易成为一般威胁的受害者,例如:假防病毒软件 Fake AV 与网络银行木马程序 (Zeus、SpyEye),但专门从事单一目标攻击的恶意软件样本数量却从未减少。不过,实际上,攻击目标的针对性也有很大的变异。有些恶意攻击者喜欢制造一些“噪声”。他们会四处散发恶意文件 (通常会利用某些主题或问题来执行社交工程技巧),但这些文件的收件者 (也就是潜在的目标) 为数颇多。这些当然并未锁定某位个人或某个机构。但是,这类攻击很可能是针对特定目标的后续攻击前兆。
歹徒先做好功课
最近我从contagiodump.blogspot.com 所收到的一个样本就展示了这类攻击“噪声”所能达到的侦查效果。此恶意软件样本是一个专门利用 Microsoft HTML 说明档漏洞的 .CHM 档案。该程序就是趋势科技所侦测到的CHM_CODEBASE.AG,它会在系统植入 BKDR_SALITY.A 后门程序,接着制造一些网络流量,连上知名 BKDR_SALITY.A 服务器。
此外,该恶意软件还会产生一些网络联机连上win{BLOCKED}.dyndns.info。该服
