安全公司FireEye稱，一組創(chuàng)新的攻擊者利用谷歌和一家互聯(lián)網(wǎng)基礎設施公司的免費服務來掩飾從企業(yè)和政府電腦中竊取的數(shù)據(jù)。

[[117909]]

FireEye公司在3月份對感染了遠程訪問工具(該公司稱之為Kaba，知名的PlugX的變體)的系統(tǒng)流量進行分析時，發(fā)現(xiàn)了這種攻擊活動，被稱之為Poisond Hurricane。

在多個美國和亞洲互聯(lián)網(wǎng)基礎設施服務提供商，金融機構(gòu)和一個亞洲政府機構(gòu)發(fā)現(xiàn)了受感染的電腦，F(xiàn)ireEye并沒有透露這些受害者的名稱。

FireEye稱，這些身份不明的攻擊者使用魚叉式釣魚攻擊來感染系統(tǒng)，然后利用惡意軟件來竊取敏感信息，并發(fā)送到遠程服務器。

這些攻擊者的獨特之處在于，他們使用Google Developers和Hurricane Electric公司的公共域名系統(tǒng)(DNS)服務來掩飾惡意軟件和命令控制服務器之間的流量。

在這兩種情況下，這些服務被用來作為某種交換站點來重定向流量，這些流量看似被發(fā)送到合法域名，例如adobe.com、update.adobe.com和outlook.com。

FireEye公司高級威脅情報研究人員Ned Moran表示：“這是攻擊者隱藏其流量的新技術(shù)。”

Moran稱，這些攻擊者的策略非常聰明，可以欺騙網(wǎng)絡管理員相信流量正發(fā)送到合法站點。

這種惡意軟件通過包含偽造的合法網(wǎng)站的HTTP表頭來掩飾其流量，F(xiàn)ireEye發(fā)現(xiàn)了攻擊者使用的21個合法域名。

此外，這些攻擊者使用來自被列為“警察互助協(xié)會(Police Mutual Aid Association)”的合法證書，以及來自被稱為“MOCOMSYS INC”的組織的過期證書，來為Kaba惡意軟件簽名。

在Google Developers的情況下，攻擊者使用該服務來托管代碼，解碼惡意軟件流量來確定真正目的地的IP地址，然后重定向流量到該位置。

Google Developers之前被稱為Google Code，這是該搜索引擎公司的網(wǎng)站，專門提供軟件開發(fā)工具、應用編程接口(API)以及與谷歌開發(fā)者產(chǎn)品合作的文檔。開發(fā)人員還可以利用該網(wǎng)站來分享代碼。

通過Hurricane Electric，攻擊者可以利用這個事實，即其域名服務器被配置，這樣任何人都可以使用該公司的托管DNS服務來注冊免費的賬號。

該服務允許任何人注冊一個域名區(qū)域(+微信關(guān)注網(wǎng)絡世界)，這是DNS的域名空間中明確的連續(xù)部分。注冊人然后可以為該區(qū)域創(chuàng)建記錄，并指定它們到任何IP地址。

另外，Hurricane并不會檢查新建區(qū)域是否已經(jīng)注冊或者由其他方所擁有。

Google和Hurricane收到通知其服務被惡意利用，這兩家公司都已經(jīng)刪除了攻擊機制。

Hurricane公司發(fā)言人Mike Leber表示：“我們非常感謝FireEye發(fā)現(xiàn)和記錄了這個不尋常的攻擊，這樣我們就可以利基修復我們的服務來消除在未來出現(xiàn)這種攻擊的可能性。”

Moran認為這些服務是攻擊者創(chuàng)造力的受害者，而不是因為漏洞。

“這些是在網(wǎng)上提供的服務，可用于好的目的，也可用于惡意目的，”他表示，“槍可以用來保護人，也可以用來傷害人。”(鄒錚編譯)