我们看到越来越多的持续性的,有针对性的攻击,目的在破坏金融账户。
虽然我们还没有统计出数量上的明显增加,不过Sophos实验室通过长期的观察发现,特定具体的企业或机构似乎已经成为更持久的攻击目标,包括那些之前从未成为首选目标的企业用户。这些攻击的目的旨在破坏存在风险的金融账户,说明以前以传统方式窃取货币的网络罪犯已经将兴趣转移到高级持续性威胁(APT)的攻击上。
披着羊皮的狼:Plugx,Blame和Simbot
一些有针对性的攻击试图伪装成合法的应用程序。特别是我们看到危险的证书窃取攻击,使用来自干净的,有数字证书的">Windows操作系统或第三方供应商的组件来加载恶意组件。
然后由取得授信的进程来执行恶意代码,因此如果一个防火墙看到来自这种途径的数据流量,就会判定这些流量是合法的。Sophos的首席研究员 Gabor Szappanos 最近提出对这些有针对性攻击的新见解,说明他们如何最大限度的降低数月或数年都未知的持续性攻击对系统造成的影响,保持几乎所有的一切都以加密的形式,让应用程序保持清洁无毒。这些技术点面向的就是攻击更难被发现的时代。
举例来说,Plugx主要依靠干净应用程序滥用的数字签名。它利用Windows系统知名的DLL加载顺序漏洞,将恶意库植入应用程序。当应用程序被运行时,Plugx就会从当前文件夹中加载DLL的恶意软件来替换掉系统文件夹中干净的DLL文件。此漏洞是很多年前系统设计者留下的,如果微软想要改变它,可能会影响到很多合法的应用程序。因此我们要解决这个漏洞可谓任重而道远。另一个典型的例子就是Blame,Blame将恶意内容深藏在各种开源项目编写的DLL中。其中之一就是广泛使用的LAME MP3编码器,它伪装成一个诱饵,加上足够干净的代码来隐藏恶意代码。
第三个样本是Simbot,Simbot定义了新的BYOT(携带自己的目标)攻击模型。它通过启动一个非常长的命令行,方便携带清洁但存在弱点的应用程序。直接引发恶意的shellcode解密并加载有效载荷。利用存在弱点的应用程序并不是一个新的战术,Simbot每次启动已感染系统的过程时会确保只执行一个干净的应用程序,并且恶意代码只能通过该漏洞执行。通过捆绑该应用程序,Simbot不必依赖于已经被安装在系统上的应用程序,也无需担心应用程序的更高版本修复了该漏洞。 Simbot的做法几乎不会留下痕迹。