尽管恶意软件通过公共资源进行更新已经不再是什么新鲜事,但RSA FraudAction研究实验室最近发现这种托管方法被用于操纵一种银行木马,即“巴西银行家”木马家族的一个变种。
实际上,允许用户上传所有类型的内容,并随后在有序表单中,没有换行符,如HTML标签
所表示的单行换行符予以发布的网站,都能被用来存储木马的加密配置。这包括几乎所有的可以不受限制的发表评论,创建公开人物介绍和设置新闻组的社交网络及web 2.0平台。
向银行木马发送命令和控制
“巴西银行家”是一种将巴西的银行和其他拉丁美洲银行的客户作为攻击目标的金融木马。 有关“巴西银行家”变种加密指令(见图1)的社交网络人物介绍,在我们发现该木马配置点之后不久,这些违法内容就被该社交网络的支持团队所处理和删除。需要着重指出的是,这家社交网站无法防范被上述这样的方式所利用。任何可以发表用户自行输入内容的网站都容易受到这种滥用的攻击,而它赋予用户的自由则恰恰可以被利用。
图1 用作木马加密配置的社交网络人物介绍:
其工作原理如下:
- 隐藏在恶意软件背后的黑客为 “Ana Maria”的用户创建了一条假的人物介绍,并以文本的方式输入恶意软件的加密配置设置,随后上传至该人物介绍中。
- 恶意软件在用户机器上自行安装后,就会在人物介绍中搜索字符串EIOWJE(上张屏幕截图中用下划线标示)。这个字符串意味着恶意软件配置指令的起始点。
- EIOWJE字符串之后的所有加密命令被恶意软件解密并在被感染计算机上执行。
上述方法可以让黑客无需租用专用的防弹服务器或为恶意软件的通信点注册域,就能够发送加密的命令。据报道,另一个被利用为木马运行命令和控制点的公共资源是Twitter的RSS产品。在这个示例中僵尸牧人的操纵方法如下所示:
- 欺诈者创建一个假的Twitter账户。
- 通过登录指定的电子邮件账户,木马定期在通过Twitter RSS发送的状态更新中检查新的指令。每个新的命令都显示为状态更新,并且包含有木马需要执行的新命令。
有个犯罪分子甚至更进一步,创建了一个基于Twitter的僵尸网络建立程序。另一个案例利用了Google Groups:在受害者计算机上完成自行安装后,木马就登录到Google Gmail账户,并从该犯罪分子预先为木马操作而创建的特定假新闻组请求页面。木马随后执行新闻组最新页面中指定的命令,并将其回复作为帖子上传至同一个新闻组中。
互联网安全公司之前已经报告过,包含有大量人物介绍的Web 2.0平台,诸如社交网站和webmail提供商,正被木马操纵者利用来存储恶意软件配置文件:
- 犯罪分子不需要为其命令和控制点(也称为更新点)购买和维护域名。
- 犯罪分子不需要为他们的活动购买或维护专用的防弹服务器。
- 公开的人物介绍或账号一旦被这些服务删除,新的人物介绍或账户就能够快速、免费地创建。
从犯罪分子的角度来看,对公共资源的利用可能更加难以发现。仅仅通过扫描可疑URL检测托管于公共网站的木马相关通信资源实际上已经几乎不可能。这些资源要求安全公司部署其他的检测方法。
值得一提的是,尽管存在着许多优势,但将通信资源托管于公共资源之上的银行木马攻击还相当少见;目前这种方法仍然规则之外的一种异常方法。通常,在检测到威胁并通知相应的支持团队后,这些命令和控制点的删除还是非常简单和快捷的。