黑客大曝光案例研究:请在季度会议之前进行审核
根据Symantec和GFI 2009年4月发表的最新安全研究,定制和针对性的垃圾邮件和恶意软件攻击数量再次上升。而且,由于恶意软件业界的专业化,这种代码定制已经使安全界的防护和检测率有了明显的下降。Symantec在2008年中检测出近166万种恶意代码威胁,和2007年相比有明显的上升。新的恶意代码特征码同期增长了265%。随着恶意软件制作者持续地开发代码并且确保这些代码在新的环境中工作正常,他们将会不断地调整这些恶意软件以得到最佳的投资回报(ROI)。特洛伊木马占了前50种恶意代码的将近70%,这是因为它们对于日后保持对受害机器的远程访问非常有效。通过创建新的独特恶意代码,结合从网络仿冒得到的定制电子邮件技术和对防病毒软件进行欺骗的新方法,使前述的方案成为可能。<br><br>
周二下午3点20分,一家中型制造企业的管理层的十位主管收到一封伪造得很逼真的电子邮件,这封邮件似乎来自公司的CEO。这封邮件的标题为“请在我们的
会议之前进行审核”,并且要求收信人保存邮件附件并且将文件扩展名从.zip改为.exe,然后运行该程序。这个程序是用于周五的季度会议的插件,对于查看会议中播放的视频来说是必需的。CEO在邮件中提到,因为邮件服务器的安全要求不允许他发送可执行文件,所以主管们必须更改该附件名。<br>
<br>
主管们按照得到的指令运行该程序。那些存有疑问的人看到他们的同事都收到相同的邮件,于是觉得这封邮件肯定是合法的。而且,因为这封邮件在这天较晚的时候发送,有些人直到下午5点之前才收到,他们没有时间去证实CEO是否发送了这封邮件。<br>
<br>
邮件的附件确实是一个在每台机器上安装击键记录程序的恶意软件。谁会创建这个程序?他们的动机是什么?让我们来认识这位攻击者。<br>
<br>
我们遇到的攻击者Bob Fraudster是本地一家小公司的编程人员。他主要使用基于Web的技术(如ASP.NET)进行编程,并制作动态网页和
Web应用程序来支持该公司的市场活动。因为经济衰退,Bob刚刚削减了工资,所以他决定获取一些额外的收入。Bob访问Google.com搜索bot
程序和僵尸网络(botnet),因为他听说这些工具能给运作者带来许多金钱,他认为这可能是赚取额外收入的一个好的途径。在这一个月中,他加入了IRC,听取其他人的意见,并且了解到在许多在线论坛上可以订购到bot软件,这些程序能够实现单击欺诈(click fraud)并且为他带来一些收入。通过研究,Bob知道大部分防病毒软件能够发现预编译的bot程序,因此他决定获取一份源代码来编译自己的bot。Bob专门订购了一个通过HTTP
上的SSL与他租赁的主机通信的bot程序,从而减少了bot出站通信被安全软件拦截的几率。因为Bot使用HTTP上的SSL,bot的所有通信流量将
被加密并且能够通过大部分内容过滤技术。Bob在各种搜索引擎上注册了广告经营者(Ad Syndicator),作为广告经营者,他将在自己的网站上显
示来自搜索引擎的广告轮换程序(如AdSense)的广告,对于他在网站上的每次广告单击,他可以得到一点小小的收入(几分钱)。<br>
<br>
Bob使用一些与bot一同订购的利用程序(exploits),加上一些订购的应用程序级漏洞来入侵全世界的Web服务器。使用标准的Web开发工具,
他修改了网站上的HTML或者PHP页面,载入他的广告经营用户名和密码,这样他的广告就代替了网站自己的广告。实际上,Bob强迫他所破解的网站加入广告经营,这样当用户单击这些广告时,就将把钱送给他,而不是实际的网站经营者。这种通过用户单击网站广告赚钱的方法被称为按单击付费广告(pay-per-click,PPC),是Google所有收入的来源。<br>
<br>
接下来,Bob使用armadillo packer软件打包恶意软件,使它看上去像来自于公司CEO的一个新PowerPoint幻灯片文件。他编写一封具体的定制电子邮件,让主管们相信附件是合法的并且来自于CEO。<br>
<br>
现在主管们必须打开这个文件。Bob大约每过30分钟就向他购买的多个小公司的电子邮件地址发送这个幻灯片的拷贝,这个拷贝实际上安装了他所制作的bot
程序。因为Bob曾经做过市场工作,并且实施过一些电子邮件活动,所以知道能够从互联网上的一个公司那里很容易地购买电子邮件地址列表。互联网上可供购买
的电子邮件地址多得令人惊讶,Bob将精力集中于较小的公司而不是集团公司的邮件地址,因为他知道许多企业在电子邮件网关上使用防病毒软件,他不想让防病
毒软件供应商注意到他的bot。<br>
<br>
Bob很聪明,知道许多通过IRC通信的bot程序更容易被发现,所以他购买了一个通过HTTP上的SSL与私人租赁主机通信的bot。使用定制的GET
请求,这个bot程序通过向他的Web服务器发送命令和带有具体数据的控制消息来进行交互。由于Bob的bot程序通过HTTP进行通信,所以不用担心所
感染的机器上运行的防火墙阻挡bot访问他所租赁的Web服务器,因为大部分防火墙都允许端口443上的出站通信。而且,他也不用担心Web内容过滤,因
为传输的数据看上去是无害的。另外,当他打算窃取查看受害者公司集团的PowerPoint幻灯片的财务数据时,只需要将数据加密,这样Web过滤程序就
无法看到这些数据。他没有使用大量繁殖的蠕虫来发布他的bot,因此受害者的防病毒软件没有发现这个bot的安装,因为防病毒软件没有这个bot的特征
码。<br>
<br>
这个bot程序一旦安装,就作为一个浏览器助手对象(Browser Helper Object,BHO)代替Internet Explorer,这
使bot程序能访问该公司的所有常规HTTP通信和Internet Explorer的所有功能,例如HTML解析、窗口标题以及访问网页的密码字段。这是Bob的bot程序嗅探发送到公司的信用卡联盟和各种网上银行数据的方法。这个bot开始连接Bob的bot主服务器,并且从服务器上读取已入侵网站的列表,连接到这些网站开始单击广告。<br>
<br>
bot程序接收到访问连接列表之后,就会保存这个列表并且等待受害者正常使用Internet Explorer。当受害者浏览CNN.com了解最新的
银行援助行动时,bot程序访问列表中的网站寻找可单击的广告。这个bot了解广告网络的工作方式,所以它使用受害者实际查看的网站(例如
CNN.com)的引用,使广告的单击看上去像是合法的。这种方法骗过了广告公司的防欺诈软件。bot单击广告并且查看了广告的登录页面之后,就转向列表
中的下一个链接。这个bot使用的这种方法使广告公司的服务器中的日志看上去像是一个普通人查看了广告,这降低了Bob的广告账户被标记为欺诈者以及他自
己被抓住的可能性。<br>
<br>
为了隐藏自己并且尽可能得到更多的收入,Bob让bot程序以较慢的方式在几周内持续单击广告。这能确保受害者不会注意到计算机上额外装入的程序,Bob的bot程序也就不会被发现是个欺诈程序。<br>
<br>
Bob成功地使公司的工作站成为自己的提款机,将现金吐到大街上,而他拎着包去捡这些钱。<br>
<br>
Bob采用的其他隐身技术确保他的bot服务器用于查找实际数据的搜索引擎不会发现他的欺诈。为了避开检测,bot使用了各种搜索引擎(如Google、Yahoo、AskJeeves等)来实现欺诈。在欺诈方案中使用越多搜索引擎,Bob就能赚越多的钱。<br>
<br>
Bob需要使用搜索引擎,因为这是欺诈的渠道。所单击的广告是前几个星期Bob侵入的网站上所放置的。在侵入的网站上所单击的广告只有10%来自
Google,其余的来自其他来源,包括其他的搜索引擎。bot程序采用一种随机单击算法,这种算法只在半数时间中单击广告链接,使得搜索引擎公司更难发现。<br>
<br>
使用慢速的方法并不意味着Bob需要花费很长的时间赚钱。例如,仅仅使用Google,我们假设Bob的秘密传播(例如,慢慢地传播)恶意软件感染
10 000台机器;每台机器最多单击20个广告,而只在50%的时间内单击Google广告,一共单击100 000次。让我们假设Bob显示的广告每
个单击产生0.5美元收入。使用这种方法,攻击者得到50 000美元收入(10 000 × 20 × 50% × $.50)。对于两周的时间来说,这项工作的价值很不错。<br>
<br>
现在我们理解了Bob的动机和计划攻击的方法,让我们回到这个虚构的公司,分析他们如何处理恶意软件的爆发。因为Bob希望保持隐蔽,所以这个恶意软件一
经运行,就通过HTTP上的SSL向中心服务器报告,并且请求和发送该公司员工输入到网站的所有用户名和密码的副本。因为Bob使用一个BHO构建
bot,不管网站的密码是否加密都能捕获。包括员工的信用卡联盟和网上电子商务供应商(如eBay和Amazon.com)都记录下来,并且发送给Bob
租赁的服务器。由于到租赁服务器的通信都通过HTTP上的SSL进行,这个网站不会被公司的代理服务器标记为恶意网站,也不会受到阻塞。<br>
<br>
<b><font color="Red">周三上午8点</font></b>,恶意软件通过将自身发送给接收到相同的CEO信息的主管的企业地址簿上的所有用户而传播。通过利用未打补丁的机器以及IT部门尚未来得及更新的运行旧版本Microsoft Windows的机器上的网络漏洞,这个恶意软件开始感染其他机器。为什么CIO不批准网络安全团队去年提出购买和实施的补丁管理的计划呢?<br>
<br>
<b><font color="Red">周三下午4点</font></b>,现在已经有几百名员工的电脑受到感染,但是IT部门也听到了需要安装电
子邮件上的应用程序的消息,于是开始调查。IT部门发现这一文件可能是恶意软件,但是企业防病毒软件和电子邮件防病毒软件不能检测,所以还不能确定这个可
执行文件是什么。IT部门对于这个执行程序是否恶意、程序的意图或者恶意软件的操作情况没有任何信息,他们相信安全软件供应商,将样本发送给防病毒软件供
应商进行分析。<br>
<br>
<b><font color="Red">周四上午10点</font></b>,IT部门急急忙忙地开始试图使用防病毒供应商前一晚上发送的特殊特征码删除这个病毒。这是个猫捉老鼠的游戏,IT部门很少能够在病毒蔓延之前采取行动。IT部门在前一个晚上关闭公司的所有工作站,包括那些架设在伦敦的、该制造公司必需的订单处理机,这使客户很不高兴。<br>
<br>
<b><font color="Red">周四晚上8点</font></b>,IT部门仍然在试图为工作站杀毒。一位IT工作人员开始自己进行分析,并且发现这段二进制代码可能是一位过去的员工编写的,因为二进制代码中的一些字符串引用了前任CIO和IT部门负责人之间的一次争吵。IT部门联络FBI确定这是不是一次犯罪行动。<br>
<br>
<font color="Red"><b>周五上午9点</b></font>,季度会议按照计划应该开始,但是因为CEO用来作报告的机器也受到感染,在IT部门推出新的防病毒软件更新时该机器关闭着,导致病毒尚未被清除,所以会议只能推迟。CEO要求和CIO进行一次紧急会议以确定发生了什么事情。IT部门继续进行网络杀毒并且稳步推进工作。<br>
<br>
<b><font color="Red">周六上午11点</font></b>,IT部门认为已经从网络上完全删除了这个恶意软件。员工们在周一将能够正常工作,但是IT部门仍然有很多工作需要做,病毒感染造成了严重的破坏,致使30台工作站必须重建,因为恶意软件还没有完全地从每台工作站上删除。<br>
<br>
<b><font color="Red">下周一下午3点</font></b>,CIO与CEO会谈,给出了清除这一问题所要花费的成本估算。他们都无法弄清,实际损失的销售额或者受到影响无法正常工作的1500个工人的产出。而且,CIO告诉CEO,由于恶意软件在他们登录网上银行账户时记录击键,所以他们的身份被窃取了。这些受害的员工希望知道公司所能对他们提供的帮助。<br>
<br>
上面这样的情况并不少见。每个案例的技术细节可能不一样,但是周一CIO和CEO的会谈内容很相似。这个制造机构中没有人预见到这种情况,但是商业杂志和每份安全报告都提到过这是难以避免的。这个案例中的主要问题是这个公司没有准备。和战争中一样,知识是成功的一半,而大部分的组织都不了解恶意软件,不了
解这些软件是如何编写的,又是为什么编写的,这些组织都没有合适的策略和程序来处理bot的全面爆发。因此,在2008年,Symantec的互联网威胁报告称,一个组织因为恶意软件而产生的第二大成本是从网络删除bot程序所花费的成本。在我们的案例研究中,IT用于恢复业务运行所花费的总时间很长,而且还不包括所有因为恶意软件捕捉个人身份信息所引起的可能的通知、违规或者法律成本。
页:
[1]