【51CTO.com 綜合消息】盡管惡意軟件通過公共資源進(jìn)行更新已經(jīng)不再是什么新鮮事，但RSA FraudAction研究實驗室最近發(fā)現(xiàn)這種托管方法被用于操縱一種銀行木馬，即“巴西銀行家”木馬家族的一個變種。

實際上，允許用戶上傳所有類型的內(nèi)容，并隨后在有序表單中，沒有換行符，如HTML標(biāo)簽所表示的單行換行符予以發(fā)布的網(wǎng)站，都能被用來存儲木馬的加密配置。這包括幾乎所有的可以不受限制的發(fā)表評論，創(chuàng)建公開人物介紹和設(shè)置新聞組的社交網(wǎng)絡(luò)及web 2.0平臺。

向銀行木馬發(fā)送命令和控制

“巴西銀行家”是一種將巴西的銀行和其他拉丁美洲銀行的客戶作為攻擊目標(biāo)的金融木馬。 有關(guān)“巴西銀行家”變種加密指令（見圖1）的社交網(wǎng)絡(luò)人物介紹，在我們發(fā)現(xiàn)該木馬配置點(diǎn)之后不久，這些違法內(nèi)容就被該社交網(wǎng)絡(luò)的支持團(tuán)隊所處理和刪除。需要著重指出的是，這家社交網(wǎng)站無法防范被上述這樣的方式所利用。任何可以發(fā)表用戶自行輸入內(nèi)容的網(wǎng)站都容易受到這種濫用的攻擊，而它賦予用戶的自由則恰恰可以被利用。

圖1 用作木馬加密配置的社交網(wǎng)絡(luò)人物介紹:

其工作原理如下： 

◆隱藏在惡意軟件背后的黑客為 “Ana Maria”的用戶創(chuàng)建了一條假的人物介紹，并以文本的方式輸入惡意軟件的加密配置設(shè)置，隨后上傳至該人物介紹中。 

◆惡意軟件在用戶機(jī)器上自行安裝后，就會在人物介紹中搜索字符串EIOWJE（上張屏幕截圖中用下劃線標(biāo)示）。這個字符串意味著惡意軟件配置指令的起始點(diǎn)。 

◆EIOWJE字符串之后的所有加密命令被惡意軟件解密并在被感染計算機(jī)上執(zhí)行。

上述方法可以讓黑客無需租用專用的防彈服務(wù)器或為惡意軟件的通信點(diǎn)注冊域，就能夠發(fā)送加密的命令。據(jù)報道，另一個被利用為木馬運(yùn)行命令和控制點(diǎn)的公共資源是Twitter的RSS產(chǎn)品。在這個示例中僵尸牧人的操縱方法如下所示： 

◆欺詐者創(chuàng)建一個假的Twitter賬戶。 

◆通過登錄指定的電子郵件賬戶，木馬定期在通過Twitter RSS發(fā)送的狀態(tài)更新中檢查新的指令。每個新的命令都顯示為狀態(tài)更新，并且包含有木馬需要執(zhí)行的新命令。

有個犯罪分子甚至更進(jìn)一步，創(chuàng)建了一個基于Twitter的僵尸網(wǎng)絡(luò)建立程序。另一個案例利用了Google Groups：在受害者計算機(jī)上完成自行安裝后，木馬就登錄到Google Gmail賬戶，并從該犯罪分子預(yù)先為木馬操作而創(chuàng)建的特定假新聞組請求頁面。木馬隨后執(zhí)行新聞組最新頁面中指定的命令，并將其回復(fù)作為帖子上傳至同一個新聞組中。

互聯(lián)網(wǎng)安全公司之前已經(jīng)報告過，包含有大量人物介紹的Web 2.0平臺，諸如社交網(wǎng)站和webmail提供商，正被木馬操縱者利用來存儲惡意軟件配置文件： 
◆犯罪分子不需要為其命令和控制點(diǎn)（也稱為更新點(diǎn)）購買和維護(hù)域名。 

◆犯罪分子不需要為他們的活動購買或維護(hù)專用的防彈服務(wù)器。 
◆公開的人物介紹或賬號一旦被這些服務(wù)刪除，新的人物介紹或賬戶就能夠快速、免費(fèi)地創(chuàng)建。

從犯罪分子的角度來看，對公共資源的利用可能更加難以發(fā)現(xiàn)。僅僅通過掃描可疑URL檢測托管于公共網(wǎng)站的木馬相關(guān)通信資源實際上已經(jīng)幾乎不可能。這些資源要求安全公司部署其他的檢測方法。

值得一提的是，盡管存在著許多優(yōu)勢，但將通信資源托管于公共資源之上的銀行木馬攻擊還相當(dāng)少見；目前這種方法仍然規(guī)則之外的一種異常方法。通常，在檢測到威脅并通知相應(yīng)的支持團(tuán)隊后，這些命令和控制點(diǎn)的刪除還是非常簡單和快捷的。

解析7月網(wǎng)絡(luò)釣魚攻擊

2010年7月，RSA連續(xù)第二個月監(jiān)測到網(wǎng)絡(luò)釣魚攻擊數(shù)量的減少；在7月份，攻擊總數(shù)下降了16%。其中，使用標(biāo)準(zhǔn)方法進(jìn)行托管的攻擊比上個月下降了7%，而托管于快速通量網(wǎng)絡(luò)的供給數(shù)量則整整下降了70%。

根據(jù)最近幾個月RSA的報告，Rock網(wǎng)絡(luò)釣魚團(tuán)伙（也稱為雪崩團(tuán)伙）已經(jīng)停止了網(wǎng)絡(luò)釣魚活動，并在活躍地發(fā)動攻擊以到處擴(kuò)散惡意軟件。因此，在7月份，由MS-重定向網(wǎng)絡(luò)（也稱為雪崩僵尸網(wǎng)絡(luò)）發(fā)起的供給非常之少。  

遭受攻擊的品牌總數(shù)

在7月，網(wǎng)絡(luò)釣魚供給針對全球216個品牌發(fā)起了攻擊，比5月減少了3%。上個月，被攻擊次數(shù)少于5次的品牌共有120個，占所有遭攻擊品牌總數(shù)的56%，同時共有19個品牌第一次遭受攻擊。  

美國境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分

全國性銀行仍然是美國金融機(jī)構(gòu)中遭受攻擊最多的品牌（按遭受攻擊的品牌數(shù)量），比6月份上升了3%。遭受攻擊的地區(qū)性銀行數(shù)量下降了3個百分點(diǎn)，而遭受攻擊的信用合作社部分與5月份相比保持不變。自2010年5月以來，相比之下美國的全國性銀行一直是網(wǎng)絡(luò)釣魚攻擊的重災(zāi)區(qū)。

托管網(wǎng)絡(luò)釣魚攻擊最多的前十個國家

美國連續(xù)8個月以相當(dāng)大的比例成為托管網(wǎng)絡(luò)釣魚攻擊最多的國家；在7月份，RSA所確定的網(wǎng)絡(luò)釣魚攻擊，美國托管了63%。加拿大和澳大利亞仍然是托管網(wǎng)絡(luò)釣魚攻擊最多的國家之一，而連續(xù)幾個月位于前三名的韓國則下滑到第7位，托管了7月份攻擊總數(shù)的3.5%。  

攻擊數(shù)量最多的前十位國家

7月，發(fā)生在美國的網(wǎng)絡(luò)釣魚供給數(shù)量有所增加，取代了英國成為遭受攻擊數(shù)量最多的國家。此外，在連續(xù)三個月位列榜單后，巴西被哥倫比亞所取代，掉出了攻擊數(shù)量最多的前十位國家之列。  

按攻擊品牌劃分的前十位國家

7月，遭受攻擊的美國品牌數(shù)與所有其他國家相比比例接近2：1。巴西完全消失在圖表中，而新西蘭自2009年9月首次入圍以來，重新出現(xiàn)在了名單之中。自2010年3月以來，網(wǎng)絡(luò)釣魚攻擊者持續(xù)不斷地對相同一批國家的品牌發(fā)起攻擊，即美國，英國，意大利，加拿大，澳大利亞，印度，南非和法國。