無需木馬感染即可監聽鍵盤:新型惡意軟件ScanBox問世
責編:admin |2014-10-30 14:23:23通過木馬感染才能竊取目標機密的時代一去不復返了。八月問世的鍵盤記錄器ScanBox也許開啟了“竊聽工具”的新紀元,攻擊者將ScanBox惡意Javascript代碼植入存在漏洞的網站上,就可以將用戶的鍵盤記錄全部截獲下來。
ScanBox軟件簡介
普華永道(PwC)的Chris Doman和Tom Lancaster表示:“ScanBox非常的危險,它不需要像傳統惡意軟件一樣植入計算機硬盤才能竊取機密,它只需要你的瀏覽器執行javascript代碼就能進行鍵盤記錄。”他們在周一的報告中發布了四個不同的攻擊案例,每個案例都是由不同的人利用ScanBox發起的攻擊。
八月,AlienVault實驗室發布了ScanBox,這款工具的主要功能是信息竊取。除了鍵盤記錄功能以外,它還能列舉系統中安裝的軟件列表,包括安全軟件、Adobe Flash及Adobe Reader的版本號,Office的版本號,以及Java環境的版本號。這些系統信息會被ScanBox加密,通過后門傳到主控服務器上。
AlienVault實驗室的老大Jaime Blasco寫道:“這是一個非常強大的框架,它會幫助你發現更多的潛在目標,然后更加輕松地發起后續攻擊。”
FreeBuf科普:什么是水洞攻擊
水洞是由RSA安全公司命名的一種計算機攻擊策略。它的受害者通常都是一些特定的組織,如機構組織、工業組織、區域組織。攻擊者主要是先觀察哪些網站使用并感染了惡意病毒,然后再有針對性的去實施攻擊。更多信息請點我
攻擊案例枚舉
同時進行的不止這些,利用“水洞攻擊”向網站植入ScanBox以后,會跟上一系列的后續攻擊。然而,受害者并不止于AlienValult實驗室于八月發現的那些工業目標。一個月前,該漏洞代碼通過code.googlecaches.com的漏洞,攻擊了中國的維族激進分子。然后在十月還發現另外兩場攻擊。其中一場是通過news.foundationssl.com上的漏洞,對美國某個政府網站發起的。另一場則是借助qoog1e.com對一家韓國的酒店網站發起的攻擊。
Doman和Lancaster稱:
“這些行動給我們最明顯的警示是,不止一個組織在使用這種框架(雖然該框架使用范圍不止于此,某些黑客盯上了大量的組織機構,某些人對特定地區部門更感興趣)”
誰才是攻擊者
普華永道(PwC)研究員同時還表示,他們發現同一類代碼中的實現了不同功能。
比如,在那四個受攻擊的網站(PwC周一發布的報告中的四個案例)中運行的同一類惡意代碼,A、B兩個網站和C、D兩個網站的代碼實現有著一定區別。在前兩個網站中它可能只是獨立的代碼塊,而在另外兩個網站上,它得通過插件才能實現。
PwC的報告寫道:“我們并沒有發現這些黑客之間有什么直接聯系,沒有使用諸如相同的域名或IP地址等特征。對于都在GoDaddy注冊的那些網站,也沒有發現什么特別的聯系。”
黑客之間的資源分享導致代碼特征重疊
“在一些攻擊案例中,某些黑客傳播分享的資源,其實是由黑客組織通過“水洞攻擊”竊取到的。當然,這些資源也有可能是那四個案例幕后的黑客組織;或者是那些目標定位廣闊,試圖從不同目標上收集惡意代碼的黑客組織。”Doman和Lancaster說。
同時他們還認為:“在我們看來,最有可能的是那些黑客組織分享資源導致了特征重疊(小編:分析不出來就明說嘛)。在不同的黑客組織發現他們擁有相同的目標后,他們會共享惡意軟件庫、人員、甚至有時是同一批主機,所以這會造就許多相似特征。分享如ScanBox之類的框架降低了攻擊者的門檻,使攻擊者能輕松地達到更好的攻擊效果。”