昨天，兩位研究人員在黑帽大會(huì)上拉開(kāi)了有針對(duì)性的惡意軟件攻擊的帷幕，演示了依靠各種攻擊手段實(shí)現(xiàn)的攻擊，這些手段包括從零日PDF攻擊到基于內(nèi)存的rootkit攻擊。在當(dāng)天舉行的四場(chǎng)演示中，每種攻擊都進(jìn)行了精心設(shè)計(jì)，其目的在于攻破目標(biāo)公司，而且還在惡意軟件中增加了新功能，以避開(kāi)已經(jīng)部署的檢測(cè)保護(hù)系統(tǒng)，或者使網(wǎng)絡(luò)安全取證調(diào)查人員無(wú)法取證。

數(shù)據(jù)安全和支付卡行業(yè)合規(guī)性管理解決方案提供商Trustwave公司的安全研究機(jī)構(gòu)SpiderLabs的高級(jí)副總裁Nick Percoco指出，“定制惡意軟件是攻擊取得成功的關(guān)鍵，穩(wěn)扎穩(wěn)打是攻擊取得成功的重要因素。攻擊者既沒(méi)有急于求成，也沒(méi)有采用什么齷齪伎倆。攻擊的持續(xù)性至關(guān)重要，攻擊者必須不斷發(fā)起并保持攻擊?！?/P>

有針對(duì)性的、持續(xù)性的攻擊一直是今年的主要攻擊方式。谷歌及其他30多家技術(shù)公司、大型企業(yè)和美國(guó)國(guó)防承包商先后承認(rèn)，黑客已經(jīng)滲透其網(wǎng)絡(luò)，利用先進(jìn)的攻擊技術(shù)秘密竊取了其敏感數(shù)據(jù)。這些攻擊還創(chuàng)造了一個(gè)新的安全術(shù)語(yǔ)：高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）。

雖然有針對(duì)性的攻擊可能成為更加流行的攻擊方式，但攻擊者進(jìn)入企業(yè)網(wǎng)絡(luò)的手段與一年半前并沒(méi)有太大區(qū)別。鍵盤(pán)記錄器、網(wǎng)絡(luò)嗅探器和內(nèi)存轉(zhuǎn)儲(chǔ)工具仍然是主要的攻擊工具，所不同的是攻擊者采用了新的手段隱藏其蹤跡，以便能夠長(zhǎng)期開(kāi)展持續(xù)性的攻擊。

Percoco與其同事、Trustwave公司資深取證調(diào)查員Jibran Ilyas同時(shí)指出，在許多情況下，攻擊者可以在眾目睽睽之下隱藏其蹤跡。例如，他們使用可信賴(lài)的方式（例如FTP、HTTP和SMTP）將數(shù)據(jù)從企業(yè)傳送出去。防火墻不會(huì)將HTTP流量標(biāo)記為異常，而如果流量使用大于31337的TCP端口傳送時(shí)，防火墻將會(huì)產(chǎn)生告警。

在其他情況下，例如在最近對(duì)一個(gè)知名人士經(jīng)常光顧的、著名的邁阿密運(yùn)動(dòng)吧的攻擊中，攻擊者找到了避開(kāi)數(shù)據(jù)丟失防護(hù)軟件的簡(jiǎn)單方法。攻擊者使用基于內(nèi)存的rootkit工具安裝惡意軟件，該惡意軟件可以捕獲在該運(yùn)動(dòng)吧刷卡的信用卡磁條數(shù)據(jù)。該運(yùn)動(dòng)吧沒(méi)有IT人員，其所有IT需求都是通過(guò)外包實(shí)現(xiàn)的。更糟糕的是，其收銀系統(tǒng)與視頻安全系統(tǒng)的DVR（數(shù)碼錄像機(jī)）服務(wù)器是同一套系統(tǒng)。

攻擊者設(shè)法在該系統(tǒng)中安裝了一個(gè)rootkit工具，該rootkit工具只提取包含信用卡號(hào)碼的磁條數(shù)據(jù)。在每張信用卡的磁條數(shù)據(jù)中，信用卡號(hào)碼與信用卡帳戶(hù)持有人姓名之間有一個(gè)“carrot”字符（“^”）。數(shù)據(jù)丟失防護(hù)軟件將這個(gè)“^”字符看作是信用卡號(hào)碼的一部分。該惡意軟件的目的就是使用百分號(hào)替代這個(gè)“^”字符。當(dāng)包含信用卡號(hào)碼的數(shù)據(jù)被傳送出去時(shí)，數(shù)據(jù)丟失防護(hù)軟件永遠(yuǎn)也查找不到這個(gè)“^”字符。

在針對(duì)West Coast網(wǎng)上成人書(shū)店的攻擊中，攻擊者設(shè)法劫持了一個(gè)Web應(yīng)用程序（該網(wǎng)站所有Web應(yīng)用程序的開(kāi)發(fā)都是外包的）并安裝了一個(gè)鍵盤(pán)記錄器，以竊取管理頁(yè)面上的身份驗(yàn)證憑據(jù)。令人難以置信的是，該管理頁(yè)面居然允許文件上傳，從而使這樣的攻擊能夠得逞。

為了防止警惕的管理員可能會(huì)注意到Windows文件夾中多出來(lái)一個(gè)新的日志文件，該惡意軟件中還包含了一個(gè)工具，可以修改新日志文件的時(shí)間戳數(shù)據(jù)，以使其看起來(lái)好像是自操作系統(tǒng)安裝時(shí)就已經(jīng)存在了。

Percoco指出，“太多的第三方應(yīng)用程序存在漏洞”。

第三方應(yīng)用程序還導(dǎo)致國(guó)際VoIP服務(wù)供應(yīng)商被攻擊者攻破。國(guó)際VoIP服務(wù)供應(yīng)商為客戶(hù)提供了兩種付款方式：在線(xiàn)支付或通過(guò)銷(xiāo)售終端支付。攻擊者可以在Ngrep中加入一個(gè)網(wǎng)絡(luò)嗅探器，Ngrep是一款允許用戶(hù)在網(wǎng)絡(luò)數(shù)據(jù)包中搜索正則表達(dá)式的工具。該惡意軟件將會(huì)查找包含信用卡數(shù)據(jù)的數(shù)據(jù)包，并在每天固定的時(shí)間將其通過(guò)FTP發(fā)送給攻擊者。

在由兩名研究人員共同完成的最后一個(gè)攻擊演示中，一家為美國(guó)軍方進(jìn)行數(shù)據(jù)分析的國(guó)防承包商的網(wǎng)絡(luò)也被一個(gè)Adobe PDF零日攻擊攻破。攻擊者發(fā)送一封精心設(shè)計(jì)的、看起來(lái)像是來(lái)自行政部門(mén)的電子郵件，其內(nèi)容和簽名也與該行政部門(mén)日常發(fā)送的電子郵件相同。實(shí)際上，該郵件的附件是一個(gè)被感染的PDF文件。一旦該P(yáng)DF文件被打開(kāi)，惡意軟件就會(huì)竊取受害者計(jì)算機(jī)中的“我的文檔”文件夾內(nèi)的所有文檔，并通過(guò)FTP將這些內(nèi)容上傳到攻擊者的服務(wù)器。

Percoco表示，“這些攻擊防不勝防。我們看到，新的攻擊層出不窮，攻擊者不斷開(kāi)發(fā)新的攻擊工具，并為這些攻擊工具增加新的高級(jí)功能和自動(dòng)化功能。利用這些自動(dòng)化功能，攻擊者甚至不需要接觸要攻擊的系統(tǒng)就可以發(fā)起攻擊?！? 

【編輯推薦】

1. 五大高危險(xiǎn)僵尸網(wǎng)絡(luò)攻擊模式全解析
2. 秘籍：DDOS網(wǎng)絡(luò)攻擊的7種武器