近日，Websense安全實(shí)驗(yàn)室ThreatSeeker智能云成功檢測(cè)到一起利用LinkedIn用戶資料發(fā)起的攻擊，攻擊中使用了社交引擎技術(shù)，攻擊目標(biāo)為其他LinkedIn用戶。Websense安全專(zhuān)家們深入分析過(guò)高級(jí)威脅的7個(gè)階段，指出在此次攻擊中，攻擊者們利用的是高級(jí)威脅中的第一階段---檢測(cè)階段，他們?cè)谶@一階段檢測(cè)各種用戶信息，以便后續(xù)發(fā)起更有效的攻擊。Websense安全專(zhuān)家表示，此次檢測(cè)到的攻擊活動(dòng)很可能只是專(zhuān)業(yè)性極強(qiáng)的針對(duì)性攻擊的開(kāi)端。

攻擊用戶如何跟LinkedIn用戶進(jìn)行交互?

所有LinkedIn用戶都可以看到最近瀏覽自己資料的5個(gè)用戶，而且多數(shù)用戶會(huì)想知道誰(shuí)訪問(wèn)了自己的個(gè)人資料。攻擊者就是利用這種方法，設(shè)立虛假用戶資料，誘騙LinkedIn用戶查看這些資料，以發(fā)起攻擊。目前LinkedIn有2.59億用戶，因此潛在的攻擊目標(biāo)還是很多的。

下圖展示了攻擊用戶是如何查找LinkedIn用戶的：

攻擊者為何會(huì)選擇LinkedIn?

社交網(wǎng)絡(luò)的搜索功能為攻擊者還有合法LinkedIn用戶提供了快速查找目標(biāo)受眾的方法。無(wú)論是尋找潛在員工的招聘人員、尋找“成功人士”的感情騙子或是尋找特定行業(yè)知名人士的高級(jí)攻擊者，只要是LinkedIn用戶，就都可以利用這些工具進(jìn)行搜索優(yōu)化。LinkedIn數(shù)據(jù)報(bào)告顯示，在2012年，社交網(wǎng)絡(luò)中的搜索量達(dá)到了57億。

需要注意的是，攻擊者訂購(gòu)了LinkedIn付費(fèi)賬戶服務(wù)，與基本賬戶服務(wù)相比，這一功能讓攻擊者有了更多的優(yōu)勢(shì)?；举~戶的搜索過(guò)濾內(nèi)容包括地理位置、行業(yè)以及語(yǔ)言。升級(jí)為付費(fèi)用戶后，搜索過(guò)濾條件將會(huì)增加職業(yè)、資歷水平以及企業(yè)規(guī)模。攻擊者可以利用所有這些條件來(lái)選擇符合其目的的特定攻擊目標(biāo)。此外，付費(fèi)賬戶的功能還會(huì)促進(jìn)該賬戶與攻擊目標(biāo)之間的交互程度。一旦目標(biāo)用戶瀏覽了攻擊者的資料，攻擊者就可以看到該用戶的所有瀏覽者。攻擊者可以在海量資料中搜索任意LinkedIn用戶并與之進(jìn)行聯(lián)系。

攻擊詳情

攻擊者建立了一個(gè)名為“Jessica Reinsch”的虛假用戶。Websense安全專(zhuān)家經(jīng)過(guò)研究發(fā)現(xiàn)，該用戶鏈接至一個(gè)位于瑞士的IP為82.220.34.47的社交網(wǎng)站。此外，值得注意的是，盡管位置信息很容易偽造，但Websense安全專(zhuān)家仍檢測(cè)到，攻擊者來(lái)自于瑞士。

Websense安全專(zhuān)家表示，在這種情況下，所謂的社交網(wǎng)站僅僅是一個(gè)誘餌。下圖就是被攻擊者作為誘餌的社交網(wǎng)站：

在最初的時(shí)候，該社交網(wǎng)絡(luò)中并不包含惡意代碼，但是隨著時(shí)間的推移，該網(wǎng)絡(luò)就逐漸變?yōu)榉欠ňW(wǎng)站，Websense安全專(zhuān)家檢測(cè)到在相同的IP上注冊(cè)了其它托管blackhat SEO等惡意代碼的域名。此外，專(zhuān)家還發(fā)現(xiàn)，用于托管社交網(wǎng)站的IP也托管了ASN(目前已知的托管漏洞利用工具包和非法網(wǎng)站的站點(diǎn))和大量的漏洞利用命令和控制URL，如RedKit和Neutrino漏洞利用工具包。

總結(jié)

目前，盡管這一特殊的用戶資料并沒(méi)有將LinkedIn用戶引至惡意代碼，但它極有可能已經(jīng)跟用戶建立了聯(lián)系并收集到了相關(guān)資料。諸如當(dāng)前雇主、職務(wù)、社交網(wǎng)絡(luò)聯(lián)系人以及技術(shù)技能等信息都可能為攻擊者所利用，以提高其在LinkedIn網(wǎng)絡(luò)之外發(fā)起的針對(duì)性更強(qiáng)的攻擊的成功率。

Websense可以全方位保護(hù)用戶安全。通過(guò)Websense ACE(高級(jí)分類(lèi)引擎)，Websense為用戶提供了針對(duì)社交網(wǎng)絡(luò)與相關(guān)漏洞利用工具包的防御措施。此外，Websense安全實(shí)驗(yàn)室專(zhuān)家也已經(jīng)將攻擊賬戶信息提交給LinkedIn，以便其快速采取相應(yīng)措施，保護(hù)其他用戶的安全。