6種典型的商業間諜軟件實例分析
責編:gltian |2024-03-27 10:41:45商業間諜軟件是一種軟件應用程序/腳本,也被稱為“跟蹤軟件”、“監視軟件”,主要功能包括非法數據收集、后門行為、遠程控制工具、屏幕截圖、密鑰記錄以及復制設備剪貼板中的內容等。商業間諜軟件可以幫助惡意行為者監視受害者的計算機設備,秘密地竊取數據并在現實世界中造成傷害。
對于組織的網絡安全人員來說,深入了解并認真應對商業間諜軟件帶來的安全風險是非常重要的。他們應當采取必要措施來保護組織免受此類威脅的侵害,降低商業間諜軟件帶來的風險,保護組織的關鍵信息資產和業務數據的安全。
商業間諜軟件運行原理
大多數商業間諜軟件會首先進入目標用戶的設備,感染操作系統的關鍵文件,然后消耗CPU的處理能力竊取數據,記錄用戶活動或獲得系統級訪問權限。一旦收集到數據,攻擊者便可以輕松實現任何目標,比如勒索、泄露敏感信息、超定向廣告、創收、間諜活動和數據銷售等。
一般來說,商業間諜軟件只有一個任務:監視目標用戶的上網習慣。但有時,間諜軟件也會通過產生虛假流量將用戶定向到虛假的產品登錄頁面,從而使黑客掌控的網站受益。
為了被安裝到用戶的設備上,商業間諜軟件會欺騙用戶點擊可疑的鏈接、按鈕或彈出式廣告,從而進入惡意網站。攻擊者也會在合法軟件包中植入間諜軟件。此外,瀏覽器擴展也可以用間諜軟件感染用戶的設備。一旦進入系統,擁有足夠技能和資源的黑客往往會隱藏間諜軟件的存在,阻止用戶卸載或刪除間諜軟件,甚至向用戶錯誤傳達應用程序的運行信息。
商業間諜軟件通常會在后臺運行,并改變設備與外界的正常通信方式。每個商業間諜軟件都會以不同的方法來完成預設的任務。一些商業間諜軟件還會改變系統設置、互聯網或防火墻設置或Windows注冊表,并訪問受限制的內容。
商業間諜軟件的類型
近年來,隨著數字化經濟的快速發展,這也推動了商業間諜軟件數量的急劇增長。目前,商業間諜軟件的主要類型包括:
?信息竊取程序(Infostealers):Infosteers是最常見的一種商業間諜軟件類型,它首先收集用戶的信息,然后將所有數據非法傳輸給攻擊者。同時,用戶并不知道商業間諜軟件正在運行并收集各種信息(從搜索歷史數據到電子郵件帳戶再到密碼和存儲內容等)。
?廣告軟件(Adware):廣告軟件通常會導致用戶設備的屏幕上顯示彈出式廣告。如果用戶錯誤地點擊了彈出式廣告并向網站提供了任何類型的信息,網站/表單將存儲該信息并將包含該數據的消息發送給黑客。
?鍵盤記錄程序(Keyloggers):鍵盤記錄程序的主要工作是記錄用戶在任何給定會話中的所有按鍵。如果用戶在鍵盤記錄程序處于活動狀態的會話中鍵入密碼,則該密碼將被記錄下來。鍵盤記錄程序也可以使用類似的策略來竊取信用卡信息。鍵盤記錄程序保存的任何記錄都會被發送給攻擊者。
?風險軟件(Riskware):風險軟件也是一種商業間諜軟件,由于軟件中存在固有安全漏洞,因此對用戶來說十分危險。有時,這類軟件的開發人員違反了許多道德和法律要求,故意使應用程序與某些程序不兼容。與其他間諜軟件類型類似,風險軟件允許黑客收集敏感數據并在管理級別授予過程控制權。
商業間諜軟件典型實例分析
1?Pegasus??
所有者:NSO Group公司
目標操作系統:iOS、Android;
零日漏洞利用:蘋果iOS、蘋果Safari、WhatsApp、蘋果iMessage;
零點擊漏洞利用:支持;
別名:Chrysaor、DEV-0336、Night Tsunami
NSO Group是一家創立于2010年的以色列技術公司,專注于開發僅向政府銷售的入侵和監控軟件,其部分創始成員來自以色列的8200國家情報部隊,屬于該行業中最有影響力的公司之一。NSO公司旗下最知名的間諜軟件當屬Pegasus。
Pegasus能夠支持多種移動平臺,可通過多種方式植入目標設備,最新版的Pegasus軟件甚至可在零點擊的情況下入侵目標手機并自動激活程序。
【Pegasus間諜軟件運行原理】
Pegasus是一款結構復雜,功能完善的高級間諜軟件,具備閱讀短信、監聽通話、收集密碼、位置跟蹤,訪問目標設備的麥克風和攝像頭,收集應用程序信息等功能。數據顯示,全球至少50多個國家在使用pegasus間諜軟件從事監聽工作,監聽對象包括了政府官員、企業高管、記者等人士,被監聽人數可能高達5萬人。
2?DevilsTongue、Sherlock
所有者:Candiru公司
目標操作系統:Windows、macOS、iOS、Android;
零日漏洞利用:微軟Windows、谷歌Chrome;
零點擊漏洞利用:可以;
別名:SOURGUM、Caramel Tsunami、Saito Tech Ltd。
Candiru也是一家專門提供間諜軟件服務的以色列公司,成立于2014年,主要業務是向政府客戶銷售間諜軟件,產品包括用于監視計算機、移動設備和云帳戶的解決方案。該公司的名稱曾多次更改,目前的官方名稱是Saito Tech Ltd。
【2014年-2022年,Candiru官方名稱變更情況】
該公司的間諜軟件名為DevilsTongue,是Windows平臺的間諜軟件,其一旦部署到目標的Windows系統中,即可完全訪問受感染設備,DevilsTongue還具備多種功能,包括收集和竊取受害者的文件,解密和竊取Windows設備上的Signal信息,并從LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera網絡瀏覽器中竊取cookies和保存的密碼。此外,Candiru還提供了一個名為Sherlock的間諜工具,可以針對各種操作系統(Windows、iOS和Android)進行零點擊攻擊。
數據顯示,DevilsTongue目前已經感染了數百名來自世界各地的受害者。
3?Alien、Predator
所有者:Cytrox / Intellexa公司;
目標操作系統:Android、iOS;
零日漏洞利用:Google Chrome、Google Android、Apple iOS;
零點擊攻擊利用:僅在使用Mars套件時存在;
別名:Helios、Balinese Ltd、Peterbald Ltd
Alien/Predator間諜軟件最初由Cytrox開發,該公司成立于2017年,總部位于北馬其頓。后來,Cytrox被位于塞浦路斯的Intellexa公司收購,Intellexa的創始人是曾長期在以色列軍事情報部門擔任高級職位的Tal Dilian。
Alien/Predator間諜軟件主要針對Android和iOS操作系統進行攻擊。攻擊始于向受害者發送包含惡意鏈接的消息。一旦被點擊,這些鏈接就會引導受害者進入攻擊者控制的網站,隨后,攻擊者會利用瀏覽器(Chrome)和操作系統(Android)的漏洞感染設備。然后,它會立即將受害者重定向到一個合法的頁面,以避免被懷疑。
Intellexa還提供Mars間諜軟件套件,其中一部分安裝在受害者的移動運營商一側。一旦安裝完成,Mars就會等待目標個人訪問HTTP頁面,并在訪問發生時使用中間人方法將受害者重定向到受感染的站點,進而觸發上一段中描述的過程。
4?Subzero
所有者:DSIRF公司
目標操作系統:Windows;
零日漏洞利用:Microsoft Windows、Adobe Reader;
零點擊漏洞利用:未發現;
別名:KNOTWEED、Denim Tsunami、MLS Machine Learning Solutions GmbH;
Subzero間諜軟件由奧地利DSIRF公司(DSR決策支持信息研究取證有限公司)開發,并于2021年首次曝光。2022年7月,微軟威脅情報團隊發布了一份關于代號為KNOTWEED (Denim Tsunami)間諜軟件研究報告,研究人員正式將其確定為DSIRF Subzero。
【DSIRF幻燈片詳細介紹了間諜軟件Subzero的功能】
為了破壞目標系統,Subzero商業間諜軟件利用了Windows和Adobe Reader的多個零日漏洞。攻擊媒介通常涉及向受害者發送包含惡意PDF文件的電子郵件,該電子郵件在打開時會觸發一系列漏洞利用,并最終在受害者的設備上啟動無形的間諜軟件。
該間諜軟件會收集在受感染系統中可以找到的任何密碼和其他身份驗證憑據,范圍涵蓋瀏覽器、電子郵件客戶端、本地安全授權子系統服務(LSASS)和Windows密碼管理器。這些憑據會被進一步用來收集有關受害者的信息,并建立更廣泛的監視活動。
從2020年開始,Subzero軟件就被用來攻擊歐洲和中北美洲的組織。2023年8月,DSIRF宣布將關閉業務,但其子公司MLS仍然在繼續開展類似的網絡間諜活動。
5?Heliconia
所有者:Variston公司
目標操作系統:Windows、Linux;
零日漏洞利用:Microsoft Defender、Google Chrome、Mozilla Firefox;
零點擊漏洞利用:未發現;
2022年,谷歌公司展示了其對商業間諜軟件Heliconia的研究分析成果。谷歌威脅分析小組(TAG)的報告描述了這種商業間諜軟件的三個組成部分:
第一部分:Heliconia Noise,主要利用了Google Chrome V8 JavaScript引擎的一個漏洞。在利用之后,Chrome的沙箱會被繞過,間諜軟件可以在目標系統中啟動。
第二部分:Heliconia Soft,主要利用了Windows反病毒軟件Microsoft Defender所嵌JavaScript引擎中的一個漏洞。其工作原理如下:首先,向受害者發送一個包含惡意JavaScript代碼的受感染PDF文件的鏈接。當下載的PDF文件開始自動掃描時,此代碼會觸發Microsoft Defender漏洞。由于利用這個漏洞,Heliconia獲得了操作系統級別的特權,并能夠在受害者的計算機上安裝間諜軟件。
第三部分:Helicona Files,主要利用了Mozilla Firefox瀏覽器的XSLT處理器中的一個漏洞來攻擊運行Windows或Linux的計算機。從這個影響Firefox 64到68版本的漏洞來看,該間諜軟件是在很早前就開發完成,至少從2018年便開始使用。
6?Reign
所有者:QuaDream公司
目標操作系統:iOS;
零日漏洞利用:蘋果iOS;
零點擊漏洞利用:支持;
別名:DEV-0196、Carmine Tsunami、InReach;
QuaDream是由NSO集團的前雇員創建,其開發的間諜軟件Reign與Pegasus有很多驚人地相似之處。例如,為了用Reign間諜軟件感染iphone,他們利用了類似于FORCEDENTRY的零點擊漏洞。
安全研究人員將這個漏洞命名為ENDOFDAYS。這個漏洞利用了iCloud日歷中的漏洞作為初始攻擊向量,使攻擊者能夠通過向日歷發送不可見的惡意邀請來感染iPhone。
iOS版Reign主要包括如下監視功能:
?搜索文件和數據庫;
?通話錄音;
?通過麥克風進行竊聽;
?用前置或后置攝像頭拍照;
?盜取密碼;
?生成iCloud雙因素認證一次性代碼;
?跟蹤位置;
?清除設備感染的痕跡;
據報道,QuaDream還開發了攻擊安卓設備的惡意軟件,但沒有公開的信息。QuaDream擁有極嚴的保密機制,它沒有網站,谷歌地圖上也找不到該公司的辦公室,同時還禁止其員工在社交媒體上討論他們的工作。2023年4月,該公司突然宣布停止運營,但目前還不完全清楚這是否僅是戰術性的撤退。
商業間諜軟件防范建議
企業組織要確保對使用商業間諜軟件的攻擊進行全面保護通常并不容易,而遵循以下建議可以增加間諜軟件運行的難度:
?定期更新所有計算設備上的軟件系統,尤其是操作系統、瀏覽器和消息應用程序;
?不要點擊任何可疑的郵件或訪問鏈接;
?在瀏覽HTTP網頁時使用VPN屏蔽互聯網流量,確保不會被重定向到惡意網站;
?定期重新啟動計算機設備,以對抗尚未建立持久機制的內存駐留惡意軟件;
?在所有設備上安裝具有實時掃描功能的惡意軟件檢測工具,以便根據行為分析,在間諜軟件造成重大損害之前,及時檢測和消除其惡意感染;
?定期在網絡環境中進行威脅搜索,尋找潛在感染和數據泄露的跡象;
?定期評估數據存儲策略。只保留業務目的所需的數據,并確保使用強加密和最低權限訪問對其進行良好保護;
?啟用安全功能,調整設置,使用面部識別、指紋或pin碼解鎖設備,阻止需要手動安裝的商業間諜軟件;
?要教育員工,避免連接免費和公共WiFi網絡。
原文鏈接:
https://usa.kaspersky.com/blog/commercial-spyware/29884/
https://cybersecurity.att.com/blogs/security-essentials/commercial-spyware-the-stealthy-threat
來源:安全牛