欧美区日韩区,黄色网欧美,日本高清v

網絡黑客如何利用谷歌來竊取企業數據

責編：admin ｜2014-08-12 18:58:08

　　安全公司FireEye稱，一組創新的攻擊者利用谷歌和一家互聯網基礎設施公司的免費服務來掩飾從企業和政府電腦中竊取的數據。

　　FireEye公司在3月份對感染了遠程訪問工具(該公司稱之為Kaba，知名的PlugX的變體)的系統流量進行分析時，發現了這種攻擊活動，被稱之為Poisond Hurricane。

　　在多個美國和亞洲互聯網基礎設施服務提供商，金融機構和一個亞洲政府機構發現了受感染的電腦，FireEye并沒有透露這些受害者的名稱。

　　FireEye稱，這些身份不明的攻擊者使用魚叉式釣魚攻擊來感染系統，然后利用惡意軟件來竊取敏感信息，并發送到遠程服務器。

　　這些攻擊者的獨特之處在于，他們使用Google Developers和Hurricane Electric公司的公共域名系統(DNS)服務來掩飾惡意軟件和命令控制服務器之間的流量。

　　在這兩種情況下，這些服務被用來作為某種交換站點來重定向流量，這些流量看似被發送到合法域名，例如adobe.com、update.adobe.com和outlook.com。

　　FireEye公司高級威脅情報研究人員Ned Moran表示：“這是攻擊者隱藏其流量的新技術。”

　　Moran稱，這些攻擊者的策略非常聰明，可以欺騙網絡管理員相信流量正發送到合法站點。

　　這種惡意軟件通過包含偽造的合法網站的HTTP表頭來掩飾其流量，FireEye發現了攻擊者使用的21個合法域名。

　　此外，這些攻擊者使用來自被列為“警察互助協會(Police Mutual Aid Association)”的合法證書，以及來自被稱為“MOCOMSYS INC”的組織的過期證書，來為Kaba惡意軟件簽名。

　　在Google Developers的情況下，攻擊者使用該服務來托管代碼，解碼惡意軟件流量來確定真正目的地的IP地址，然后重定向流量到該位置。

　　Google Developers之前被稱為Google Code，這是該搜索引擎公司的網站，專門提供軟件開發工具、應用編程接口(API)以及與谷歌開發者產品合作的文檔。開發人員還可以利用該網站來分享代碼。

　　通過Hurricane Electric，攻擊者可以利用這個事實，即其域名服務器被配置，這樣任何人都可以使用該公司的托管DNS服務來注冊免費的賬號。

　　該服務允許任何人注冊一個域名區域(+微信關注網絡世界)，這是DNS的域名空間中明確的連續部分。注冊人然后可以為該區域創建記錄，并指定它們到任何IP地址。

　　另外，Hurricane并不會檢查新建區域是否已經注冊或者由其他方所擁有。

　　Google和Hurricane收到通知其服務被惡意利用，這兩家公司都已經刪除了攻擊機制。

　　Hurricane公司發言人Mike Leber表示：“我們非常感謝FireEye發現和記錄了這個不尋常的攻擊，這樣我們就可以利基修復我們的服務來消除在未來出現這種攻擊的可能性。”

　　Moran認為這些服務是攻擊者創造力的受害者，而不是因為漏洞。

　　“這些是在網上提供的服務，可用于好的目的，也可用于惡意目的，”他表示，“槍可以用來保護人，也可以用來傷害人。”