這篇博客內容出自我在VB2012國際會議的演講議題——《中國網上購物市場惡意軟件攻擊分析》,分析瞭中國網購市場惡意軟件的傳播方式、安全檢測面臨的挑戰以及網購惡意軟件鑒定等內容。
網上購物已經成為我國網民的重要生活習慣。根據報告,截至2011年,我國有5.13億民眾有上網習慣。網路購物的消費總額達到1027億美金。著名購物網站淘寶網,每分鐘可以賣出四萬八千份商品。這不僅僅是個具有龐大商機的市場,也是一個令黑客垂涎三尺的獲利目標。
國內用戶也共享類似的軟件使用習慣。微軟的瀏覽器IE,在國內有超過50%的市場份額。即時通訊軟件QQ則有上億的帳戶量。壓縮軟件則是以Winrar最為普及。在這場演講中所舉例的網購木馬傢族,就是利用上述三款軟件對網上購物的網民進行傳播、盜取金錢以及安全軟件的免殺。
網購木馬主要有兩大傳播渠道。第一大傳播渠道是釣魚網站,或是虛假的購物網站。這類網站常常以不可思議的低價來吸引用戶瀏覽ˋ,用戶會由網站上下載由木馬偽裝的”電子折扣券”或是”實物照片”,造成電腦感染。網站也有可能假裝東西賣完瞭,請用戶留下聯系方式,一有”貨”就會通知用戶,其實上門的是木馬文件。
第二大渠道是直接通過即時通訊軟件的文件傳輸,透過社會工程學手段主動讓用戶接受文件並且點擊。攻擊者會在特定的群內發消息,聲稱某某商品大降價,請點擊連結查看詳情,點擊的用戶就有機會中招。黑客也會通過盜來的帳號發送私密信息,如下圖示意,隻要把木馬的圖標提換成美女圖,加上”這是我新女友”的訊息,很多人就會雙擊木馬文件而中招。
網購木馬的典型流程:雙擊執行瞭惡意軟件之後,用戶會看見想看的圖片,譬如商品實物圖、美女圖。貌似無害,但其實這是降低警戒心的手段。木馬程序會開始監控瀏覽器頁面,當發現用戶進入支付頁面的時候,將支付頁面的內容篡改,使得錢實際上是流入瞭網購木馬作者的黑帳戶裡面。黑客會立刻透過購買虛擬寶物後變現、手機充值後購物等方式進行多階段洗錢,使得追蹤源頭相當復雜困難。
我們在現場還展示瞭一個實際攻擊的案例,當用戶進入支付頁面的時候,木馬會修改網頁的按鈕,使得前往網銀的按鈕實際上卻是對木馬服務器發出請求。而木馬服務器再對銀行發起新的請求,這個請求會把錢導向攻擊者的帳戶。銀行回應一個網銀登入確認的頁面,木馬服務器將此頁面送到用戶機器上,最後本地端的木馬負責修改頁面上收款帳戶的訊息,讓用戶信以為真,完成整個詐騙金錢的流程。此類攻擊技術目前國際上稱之為MITB attack(Man in the browser)。
最後的部分,我們分享瞭偵測網購木馬的挑戰,以及黑客與安全軟件對抗的思路。網購木馬通常以壓縮包形式傳播,而掃描壓縮包對安全軟件來說則是一大挑戰。攻擊者可以構造畸形壓縮包來挑戰掃描引擎的容錯能力。一個相當有意思的案例是一個壓縮包但是有兩個格式在內。文件前端是Compound binary format,裡面隻有一些無害的文件。緊接在後的是rar壓縮格式,真正的木馬文件則是藏於此處。對於一般殺毒軟件來說,掃描完前面的無害文件之後,很容易忽略掉後面的第二段壓縮格式。但對於Winrar來說,因為文件後墜名是.rar,所以它反而忽略瞭壓縮包前面的compound binary format,直接解開rar壓縮格式內的木馬文件。所以同一個壓縮包,掃描引擎與Winrar看到的文件卻是截然不同,造成木馬文件可以繞過安全軟件的防禦。
對於網購用戶的保護,我們總結瞭三條主要思路:
在不同的用戶場景,執行不同的安全策略。在網購保鏢下,360執行最嚴格的安全策略來保護用戶不受木馬攻擊。任何造成威脅的程序皆會被攔截,直到用戶完成網購為止。
以最高速度響應安全威脅。反應速度越快,木馬作者能賺到的錢就越少。當利潤下降到一定程度,木馬的活動就會趨緩。
擁有多層次的防禦機制。從360安全瀏覽器、360網盾、到360安全衛士,裡面包含瞭惡意網址防禦、雲查殺、QVM、主動防禦、隔離沙箱…等先進防禦系統,木馬作者要繞過全部的機制,成本勢必提高。成本提高也會對木馬活動造成相當大的影響,減低攻擊者的意願
Orignal From: 網購木馬傳播和攻擊流程分析
留言列表
