概述

[[119990]]

任何使用互聯(lián)網(wǎng)的人都身處危險(xiǎn)之中，不分你年齡幾何，不管你在網(wǎng)絡(luò)上喜歡做什么。網(wǎng)絡(luò)罪犯能夠部署一個(gè)強(qiáng)大的軍火庫，瞄準(zhǔn)任何可能的目標(biāo)，下至學(xué)生上至已退休的老人，追蹤他們是否登錄到社交網(wǎng)絡(luò)、是否瀏覽最新的頭條或者是否觀看喜歡的視頻。而互聯(lián)網(wǎng)騙子試圖訪問我們的網(wǎng)銀、個(gè)人數(shù)據(jù)以及計(jì)算系統(tǒng)資源。簡而言之，只要有利可圖，他們都想得到。

在互聯(lián)網(wǎng)上，我們要面臨復(fù)雜多樣的攻擊：用戶可能成為類似Gimeno或Foreign的勒索軟件的受害者， 也可能淪為Andromeda僵尸網(wǎng)絡(luò)的一部分，也可能眼睜睜看著Zeus/Zbot榨干自己銀行賬戶中的存款，又或者被Fareit間諜軟件盜取密碼;

攻擊方式

為使攻擊取得成功，首先要讓用戶和惡意站點(diǎn)建立連接，然后惡意站點(diǎn)會在用戶計(jì)算機(jī)上下載惡意代碼。為誘使用戶訪問到這些資源，黑客可能通過郵件、短信或社交網(wǎng)絡(luò)向用戶發(fā)送一個(gè)惡意連接。也可能嘗試通過搜索引擎提升惡意網(wǎng)站的搜索排名。更為高級的技術(shù)可以去攻陷一個(gè)受歡迎的合法網(wǎng)站，再利用它來攻擊訪問者。

惡意軟件的下載和安裝可以通過以下兩種方法實(shí)現(xiàn)：

-->第一種方法：路過式下載(drive-by download,也稱網(wǎng)站掛馬)，依賴于用戶軟件的漏洞。由于沒有任何提示，訪問惡意站點(diǎn)的用戶完全不知道自己的計(jì)算機(jī)正在安裝惡意軟件。

-->第二種方法：社會工程學(xué)，用戶被引誘去下載和安裝惡意軟件，卻還堅(jiān)信它只是一個(gè)更新的flash播放器或其他類似的常見軟件。

可執(zhí)行惡意文件的下載路徑

1. 惡意鏈接和橫幅廣告(banner)

引誘受害者去訪問惡意站點(diǎn)的最簡單的方法就是展示一個(gè)帶有鏈接的有吸引力的橫幅。通常包含非法內(nèi)容，色情，未注冊軟件，未授權(quán)電影的站點(diǎn)共用一個(gè)主機(jī)。這些站點(diǎn)能夠老老實(shí)實(shí)的工作一段時(shí)間來積累人氣，然后開始放置鏈接到惡意資源的橫幅。

一個(gè)常用傳播方法是投放惡意廣告，或者利用隱藏的橫幅重定向用戶到惡意站點(diǎn)?？梢傻臋M幅廣告網(wǎng)通過廣告“點(diǎn)擊率”的高回報(bào)來吸引網(wǎng)站管理員，一邊賺錢一邊傳播惡意程序。

當(dāng)用戶訪問展示這些橫幅廣告的站點(diǎn)時(shí)，一個(gè)所謂的“隱性彈出式廣告(pop-under)”窗口在受害者的瀏覽器中打開。類似于彈出廣告(pop-up)，但“隱性彈出式廣告(pop-under)”的內(nèi)容通常依賴于用戶的位置-不同國家的居民會被重定向到不同的資源。例如一個(gè)國家的所有訪問者可能看到是同一個(gè)廣告。

PS:與彈出式廣告pop-up相對應(yīng)，pop-under實(shí)際上是一種“隱性彈出式”網(wǎng)絡(luò)廣告。二者不同之處在于，pop-up是用戶一打開一個(gè)網(wǎng)站時(shí)首先彈出廣告窗口，而pop-under并不會在瀏覽一個(gè)網(wǎng)站時(shí)對用戶產(chǎn)生直接的影響，而是隱藏在用戶所請求的網(wǎng)頁下面，只有你離開這個(gè)網(wǎng)站時(shí)，才會彈出這個(gè)廣告主頁的新瀏覽窗口。

站點(diǎn)讓來自美國的用戶訪問watchmygf.net

站點(diǎn)讓來自俄羅斯的用戶訪問runetki.tv

然而來自其他國家的用戶將被漏洞利用工具包(exploit packs)攻擊。(PS:真是欺軟怕硬啊)

一位來自日本的用戶被漏洞利用工具攻擊并感染了Zbot間諜木馬。

這些惡意廣告橫幅偶爾能夠滲透到正常的橫幅廣告網(wǎng)絡(luò)，盡管管理員嚴(yán)防死守著。類似案例如雅虎橫幅廣告網(wǎng)絡(luò)，甚至YouTube難以幸免。

2. 垃圾郵件

垃圾郵件是吸引受害者訪問惡意資源的最流行的方法。它包括發(fā)送電子郵件、短信、即時(shí)消息、社交網(wǎng)絡(luò)、論壇中私信或博客中的評論等。

一條危險(xiǎn)的消息可能包含惡意文件、指向被感染站點(diǎn)的連接。攻擊者利用社會工程方法鼓動(dòng)用戶去點(diǎn)擊鏈接或文件，例如：

-->使用真實(shí)的組織或個(gè)人作為發(fā)送名

-->郵件偽裝成合法的廣告郵件或者是個(gè)人交流

-->文件被呈現(xiàn)為一個(gè)有用的程序或文件

在定向攻擊中，即網(wǎng)絡(luò)罪犯具體攻擊某個(gè)特定組織，惡意郵件可能模仿成來自常規(guī)聯(lián)系人的郵件：回復(fù)地址、內(nèi)容和簽名都可能和真實(shí)的郵件一樣。當(dāng)打開名字諸如“invoice.docx”的附件時(shí)，用戶已把自己的計(jì)算機(jī)置于危險(xiǎn)之中了。

3. 違規(guī)SEO

SEO或搜索引擎優(yōu)化是一系列用來提高站點(diǎn)在搜索結(jié)果中的排名的技術(shù)?，F(xiàn)在的用戶經(jīng)常使用搜索引擎來查找需要的信息或服務(wù)，因此站點(diǎn)越容易被搜索到，訪問的用戶就會越多。

除了利用合法的優(yōu)化方法，即搜索引擎允許的方法，也有一些被明令禁止的方法來欺騙搜索殷勤。一個(gè)站點(diǎn)可能借助僵尸網(wǎng)絡(luò)來提高排名-大量的僵尸機(jī)發(fā)起特定搜索請求，并選擇惡意站點(diǎn)。站點(diǎn)可以基于訪問來源采用不同的處理方法：如果是網(wǎng)絡(luò)爬蟲，站點(diǎn)就顯示請求相關(guān)的頁面;如果是正常的用戶，站點(diǎn)就重定向到惡意站點(diǎn)。

也可以利用特殊的工具將網(wǎng)站的連接散布在對搜索引擎可見的論壇或其他站點(diǎn)。(PS：外鏈)，提供站點(diǎn)的排名。通常使用違規(guī)搜索優(yōu)化的站點(diǎn)可能會被搜索引擎的管理員及時(shí)屏蔽掉。因此，網(wǎng)絡(luò)罪犯會利用自動(dòng)化工具創(chuàng)建上百個(gè)惡意站點(diǎn)。

4. 被感染的合法站點(diǎn)

網(wǎng)絡(luò)罪犯有時(shí)會感染合受歡迎的合法站點(diǎn)來傳播惡意代碼。目標(biāo)可能是大流量的新聞資源、網(wǎng)上商店、門戶網(wǎng)站和新聞聚合網(wǎng)站。

有兩種常用感染站點(diǎn)的方法。如果目標(biāo)站點(diǎn)被檢測到有一個(gè)軟件漏洞，惡意代碼就可能被注入(例如SQL注入)。其他情況下，網(wǎng)絡(luò)罪犯利用木馬間諜軟件、釣魚、社會工程學(xué)等手段，獲得網(wǎng)站管理員的認(rèn)證數(shù)據(jù)，進(jìn)而控制整個(gè)站點(diǎn)。一旦落入罪犯的控制，站點(diǎn)可以被感染的方式有多種。最簡單的方式就是在HTML頁面添加一個(gè)隱藏的frame標(biāo)簽，鏈接到惡意資源。

卡巴斯基實(shí)驗(yàn)室每天監(jiān)測到成千上萬的合法站點(diǎn)向它們的用戶下載惡意代碼。其中最突出的案例當(dāng)屬Lurk木馬，被發(fā)現(xiàn)在俄羅斯新聞社和gazeta.ru的網(wǎng)站上，以及被感染的PHP.Net。

利用路過式下載攻擊被感染站點(diǎn)的用戶。攻擊過程不會引起用戶的注意，而且不需要用戶手動(dòng)下載或激活任何東西。一個(gè)漏洞利用工具，或漏洞利用工具的集合，會自動(dòng)從頁面下載，接下來如果目標(biāo)機(jī)器上存在有漏洞的軟件，一個(gè)惡意可執(zhí)行文件就會被啟動(dòng)。

5. 漏洞利用工具包

漏洞利用工具包是感染受害者的計(jì)算機(jī)的最有效的工具，例如Blackhole。這些都是黑市上很暢銷的產(chǎn)品：漏洞利用工具包被開發(fā)用于訂購或大規(guī)模使用，而且提供技術(shù)支持和更新升級。產(chǎn)品價(jià)格要取決于包含漏洞的數(shù)量和“新鮮程度”，管理的易用性、售后服務(wù)的質(zhì)量、升級更新的頻率和賣家的貪欲。

一旦通過瀏覽器成功發(fā)起了攻擊，漏洞利用工具就會利用一個(gè)漏洞，可能位于瀏覽器、插件或被瀏覽器加載的第三方軟件。如果漏洞被成功利用，一個(gè)惡意文件就是在受害者的機(jī)器上運(yùn)行。

IE瀏覽器上的典型插件擁有默認(rèn)運(yùn)行的權(quán)限。

被紅色下劃線標(biāo)識的插件，它們中的漏洞常常被用于攻擊系統(tǒng)。

一個(gè)有效的工具包包含一些有用的漏洞利用代碼，針對流行的瀏覽器和附屬插件、Adobe Flash播放器、以及其他受歡迎的程序。漏洞利用工具包通常一些工具，用于微調(diào)和搜集感染的統(tǒng)計(jì)數(shù)據(jù)。

Styx漏洞利用工具包控制面板

6. 用戶直接下載

網(wǎng)絡(luò)罪犯往往并不需要利用精巧而昂貴的工具來向用戶的計(jì)算機(jī)中植入惡意程序。一些簡單的伎倆就可以讓用戶自己下載并運(yùn)行惡意程序。

例如，一進(jìn)入惡意站點(diǎn)，用戶就看到一個(gè)“僅限成人”的電影的預(yù)告片。點(diǎn)擊視頻會彈出一條提示消息，告知用戶更新Adobe Flash播放器，同時(shí)站點(diǎn)立即提供一個(gè)下載文件，而且文件名也起來也是可信的。但安裝更新后，用戶的計(jì)算機(jī)就感染了木馬。

當(dāng)嘗試在惡意站點(diǎn)觀看一個(gè)成人視頻時(shí)，就彈出消息

或者一個(gè)網(wǎng)頁可能看起來像“我的計(jì)算機(jī)”窗口，提示在用戶的計(jì)算機(jī)中檢測大量的病毒。而且在旁邊還有一個(gè)提供免費(fèi)“反病毒程序”的窗口。

提供的免費(fèi)反病毒程序隱藏有木馬

7. 通過社交網(wǎng)絡(luò)感染

社交網(wǎng)絡(luò)中的小白是半自動(dòng)化蠕蟲攻擊的理想目標(biāo)。潛在的受害者從網(wǎng)友收到一條消息，能提供一些吸引人的功能。為了獲得這些吸引人的功能，用戶被告知要打開一個(gè)Javascript終端，并輸入一些特定代碼。當(dāng)代碼執(zhí)行后，蠕蟲已激活，然后開始搜集用戶數(shù)據(jù)，并向受害者的聯(lián)系人發(fā)送蠕蟲的連接。

安裝一個(gè)半自動(dòng)化的Facebook蠕蟲的代碼

如何盈利

沒有人僅為了證明自己而去攻擊我們的計(jì)算機(jī)-目標(biāo)當(dāng)然是金錢。

1. 網(wǎng)絡(luò)敲詐

使用木馬敲詐軟件就是最典型的從受害者手中非法牟利的手段。受害人只有支付了一定的金額，才可以正常的使用電腦。

當(dāng)滲透進(jìn)用戶的電腦后，木馬首先判斷被感染機(jī)器所在的國家，然后向受害者顯示一個(gè)禁用的屏幕，包含威脅和支付贖金的方法。消息所使用的語言和推薦的支付方式都是基于用戶所在的國家。

詐騙犯通常指控用戶瀏覽色情內(nèi)容或做過其他違法行為，然后威脅進(jìn)行犯罪調(diào)查或公開丑聞。假設(shè)是基于用戶往往信以為真，不敢尋求法律的幫助。有些情況下，如果不盡快支付贖金，木馬敲詐軟件可能威脅去破壞磁盤上的內(nèi)容。

Trojan-Ransom.Win32.Foreign顯示給美國用戶的禁用屏幕

網(wǎng)絡(luò)罪犯提供多種支付選項(xiàng)，發(fā)送短信到一個(gè)付費(fèi)號碼或使用支付系統(tǒng)進(jìn)行轉(zhuǎn)賬。作為回報(bào)，用戶應(yīng)該獲得一個(gè)解鎖的密碼，使木馬處于未激活的狀態(tài)。但實(shí)際上往往不會發(fā)生。為了避免惹官司上身，網(wǎng)絡(luò)罪犯更喜歡拿錢拍屁股走人，丟下受害人和一臺實(shí)際上已沒價(jià)值的計(jì)算機(jī)。

2. 出售用戶數(shù)據(jù)

另一種非法牟利的手段是搜集和出售用戶的私密數(shù)據(jù)。聯(lián)系人詳情和個(gè)人數(shù)據(jù)都是可以在黑市上兜售的，盡管金額數(shù)目不大。但是也是一個(gè)有利可圖的兼職，尤其是信息搜集并不需要任何惡意程序。往往受害者自己就提供了所需的信息-重要的是搭建看起來真實(shí)可靠的網(wǎng)站，提供填入數(shù)據(jù)的表單。

一個(gè)偽造的站點(diǎn)搜集訪問者的聯(lián)系人詳情和個(gè)人信息，然后登記到有償?shù)氖謾C(jī)服務(wù)

3. 盜取網(wǎng)銀

銀行木馬給攻擊者帶來更大的利益。這些程序使用遠(yuǎn)程銀行系統(tǒng)從用戶的銀行賬戶竊取存款。此種類型的惡意程序會盜取用戶網(wǎng)銀的認(rèn)證數(shù)據(jù)。但這是不夠的，因?yàn)閹缀跛械你y行和支付系統(tǒng)都需要多因素認(rèn)證，例如短信驗(yàn)證碼、USB Key等。這種情況下，木馬會等到用戶再次使用網(wǎng)銀，然后去更改支付內(nèi)容，把錢轉(zhuǎn)移到網(wǎng)絡(luò)罪犯指定的賬戶。也有其他繞過雙因素認(rèn)證的方法：木馬可以截獲短信驗(yàn)證碼和用戶密碼，或當(dāng)USB key插入時(shí)，凍結(jié)系統(tǒng)，讓用戶束手無策，同時(shí)網(wǎng)絡(luò)罪犯劫持操作，盜取存款。

4. 僵尸網(wǎng)絡(luò)

最后，另一個(gè)非法牟利的途徑是運(yùn)行僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)中被感染的主機(jī)可以被用于各種賺錢的活動(dòng)：挖比特幣、發(fā)送垃圾郵件、實(shí)施DDOS攻擊和發(fā)送搜索請求提高站點(diǎn)的排名等。

應(yīng)對威脅

綜上所述，網(wǎng)絡(luò)威脅是多種多樣的，并無處不在的威脅著互聯(lián)網(wǎng)用戶-當(dāng)閱讀郵件時(shí)，當(dāng)在社交網(wǎng)絡(luò)中互動(dòng)時(shí)，當(dāng)瀏覽新聞時(shí)或網(wǎng)上沖浪時(shí)。當(dāng)然也有很多方法抵御這些威脅，但可以總結(jié)為四條關(guān)鍵的建議：

-->經(jīng)常留意自己在互聯(lián)網(wǎng)上的操作：訪問什么站點(diǎn)，下載什么文件，在計(jì)算機(jī)上運(yùn)行什么程序。

-->別信任來自陌生用戶和組織的消息，別點(diǎn)擊鏈接和別打開附件。

-->經(jīng)常更新常用軟件，尤其是跟瀏覽器協(xié)作的軟件。

-->安裝最新防護(hù)和保持反病毒數(shù)據(jù)庫是最新的。

以上建議看起來十分簡單，但感染用戶數(shù)量的持續(xù)增長清楚地表明了太多用戶不把安全當(dāng)回事了，忽略以上的建議。我們希望我們對當(dāng)前互聯(lián)網(wǎng)威脅的綜述能夠改善這種局面。