無(wú)需木馬感染即可監(jiān)聽(tīng)鍵盤(pán):ScanBox惡意軟件問(wèn)世
責(zé)編:admin |2014-10-31 15:05:59通過(guò)木馬感染才能竊取目標(biāo)機(jī)密的時(shí)代一去不復(fù)返了。八月問(wèn)世的鍵盤(pán)記錄器ScanBox也許開(kāi)啟了“竊聽(tīng)工具”的新紀(jì)元,攻擊者將ScanBox惡意Javascript代碼植入存在漏洞的網(wǎng)站上,就可以將用戶的鍵盤(pán)記錄全部截獲下來(lái)。
無(wú)需木馬感染即可監(jiān)聽(tīng)鍵盤(pán):ScanBox惡意軟件問(wèn)世
ScanBox軟件簡(jiǎn)介
普華永道(PwC)的Chris Doman和Tom Lancaster表示:“ScanBox非常的危險(xiǎn),它不需要像傳統(tǒng)惡意軟件一樣植入計(jì)算機(jī)硬盤(pán)才能竊取機(jī)密,它只需要你的瀏覽器執(zhí)行javascript代碼就能進(jìn)行鍵盤(pán)記錄。”他們?cè)谥芤坏膱?bào)告中發(fā)布了四個(gè)不同的攻擊案例,每個(gè)案例都是由不同的人利用ScanBox發(fā)起的攻擊。
八月,AlienVault實(shí)驗(yàn)室發(fā)布了ScanBox,這款工具的主要功能是信息竊取。除了鍵盤(pán)記錄功能以外,它還能列舉系統(tǒng)中安裝的軟件列表,包括安全軟件、Adobe Flash及Adobe Reader的版本號(hào),Office的版本號(hào),以及Java環(huán)境的版本號(hào)。這些系統(tǒng)信息會(huì)被ScanBox加密,通過(guò)后門(mén)傳到主控服務(wù)器上。
AlienVault實(shí)驗(yàn)室的老大Jaime Blasco寫(xiě)道:“這是一個(gè)非常強(qiáng)大的框架,它會(huì)幫助你發(fā)現(xiàn)更多的潛在目標(biāo),然后更加輕松地發(fā)起后續(xù)攻擊。”
FreeBuf科普:什么是水坑攻擊
水坑是由RSA安全公司命名的一種計(jì)算機(jī)攻擊策略。它的受害者通常都是一些特定的組織,如機(jī)構(gòu)組織、工業(yè)組織、區(qū)域組織。攻擊者主要是先觀察哪些網(wǎng)站使用并感染了惡意病毒,然后再有針對(duì)性的去實(shí)施攻擊。
攻擊案例枚舉
同時(shí)進(jìn)行的不止這些,利用“水坑攻擊”向網(wǎng)站植入ScanBox以后,會(huì)跟上一系列的后續(xù)攻擊。然而,受害者并不止于AlienValult實(shí)驗(yàn)室于八月發(fā)現(xiàn)的那些工業(yè)目標(biāo)。一個(gè)月前,該漏洞代碼通過(guò)code.googlecaches.com的漏洞,攻擊了中國(guó)的維族激進(jìn)分子。然后在十月還發(fā)現(xiàn)另外兩場(chǎng)攻擊。其中一場(chǎng)是通過(guò)news.foundationssl.com上的漏洞,對(duì)美國(guó)某個(gè)政府網(wǎng)站發(fā)起的。另一場(chǎng)則是借助qoog1e.com對(duì)一家韓國(guó)的酒店網(wǎng)站發(fā)起的攻擊。
Doman和Lancaster稱(chēng):
“這些行動(dòng)給我們最明顯的警示是,不止一個(gè)組織在使用這種框架(雖然該框架使用范圍不止于此,某些黑客盯上了大量的組織機(jī)構(gòu),某些人對(duì)特定地區(qū)部門(mén)更感興趣)”
誰(shuí)才是攻擊者
普華永道(PwC)研究員同時(shí)還表示,他們發(fā)現(xiàn)同一類(lèi)代碼中的實(shí)現(xiàn)了不同功能。
比如,在那四個(gè)受攻擊的網(wǎng)站(PwC周一發(fā)布的報(bào)告中的四個(gè)案例)中運(yùn)行的同一類(lèi)惡意代碼,A、B兩個(gè)網(wǎng)站和C、D兩個(gè)網(wǎng)站的代碼實(shí)現(xiàn)有著一定區(qū)別。在前兩個(gè)網(wǎng)站中它可能只是獨(dú)立的代碼塊,而在另外兩個(gè)網(wǎng)站上,它得通過(guò)插件才能實(shí)現(xiàn)。
PwC的報(bào)告寫(xiě)道:“我們并沒(méi)有發(fā)現(xiàn)這些黑客之間有什么直接聯(lián)系,沒(méi)有使用諸如相同的域名或IP地址等特征。對(duì)于都在GoDaddy注冊(cè)的那些網(wǎng)站,也沒(méi)有發(fā)現(xiàn)什么特別的聯(lián)系。”
黑客之間的資源分享導(dǎo)致代碼特征重疊
“在一些攻擊案例中,某些黑客傳播分享的資源,其實(shí)是由黑客組織通過(guò)“水坑攻擊”竊取到的。當(dāng)然,這些資源也有可能是那四個(gè)案例幕后的黑客組織;或者是那些目標(biāo)定位廣闊,試圖從不同目標(biāo)上收集惡意代碼的黑客組織。”Doman和Lancaster說(shuō)。
同時(shí)他們還認(rèn)為:“在我們看來(lái),最有可能的是那些黑客組織分享資源導(dǎo)致了特征重疊(小編:分析不出來(lái)就明說(shuō)嘛)。在不同的黑客組織發(fā)現(xiàn)他們擁有相同的目標(biāo)后,他們會(huì)共享惡意軟件庫(kù)、人員、甚至有時(shí)是同一批主機(jī),所以這會(huì)造就許多相似特征。分享如ScanBox之類(lèi)的框架降低了攻擊者的門(mén)檻,使攻擊者能輕松地達(dá)到更好的攻擊效果。”
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧