通過木馬感染才能竊取目標(biāo)機密的時代一去不復(fù)返了。八月問世的鍵盤記錄器ScanBox也許開啟了“竊聽工具”的新紀(jì)元，攻擊者將ScanBox惡意Javascript代碼植入存在漏洞的網(wǎng)站上，就可以將用戶的鍵盤記錄全部截獲下來。

ScanBox軟件簡介

普華永道(PwC)的Chris Doman和Tom Lancaster表示：“ScanBox非常的危險，它不需要像傳統(tǒng)惡意軟件一樣植入計算機硬盤才能竊取機密，它只需要你的瀏覽器執(zhí)行javascript代碼就能進(jìn)行鍵盤記錄。”他們在周一的報告中發(fā)布了四個不同的攻擊案例，每個案例都是由不同的人利用ScanBox發(fā)起的攻擊。

八月，AlienVault實驗室發(fā)布了ScanBox，這款工具的主要功能是信息竊取。除了鍵盤記錄功能以外，它還能列舉系統(tǒng)中安裝的軟件列表，包括安全軟件、Adobe Flash及Adobe Reader的版本號，Office的版本號，以及Java環(huán)境的版本號。這些系統(tǒng)信息會被ScanBox加密，通過后門傳到主控服務(wù)器上。

AlienVault實驗室的老大Jaime Blasco寫道：“這是一個非常強大的框架，它會幫助你發(fā)現(xiàn)更多的潛在目標(biāo)，然后更加輕松地發(fā)起后續(xù)攻擊。”

FreeBuf科普：什么是水坑攻擊

水坑是由RSA安全公司命名的一種計算機攻擊策略。它的受害者通常都是一些特定的組織，如機構(gòu)組織、工業(yè)組織、區(qū)域組織。攻擊者主要是先觀察哪些網(wǎng)站使用并感染了惡意病毒，然后再有針對性的去實施攻擊。#p#

攻擊案例枚舉

同時進(jìn)行的不止這些，利用“水坑攻擊”向網(wǎng)站植入ScanBox以后，會跟上一系列的后續(xù)攻擊。然而，受害者并不止于AlienValult實驗室于八月發(fā)現(xiàn)的那些工業(yè)目標(biāo)。一個月前，該漏洞代碼通過code.googlecaches.com的漏洞，攻擊了中國的維族激進(jìn)分子。然后在十月還發(fā)現(xiàn)另外兩場攻擊。其中一場是通過news.foundationssl.com上的漏洞，對美國某個政府網(wǎng)站發(fā)起的。另一場則是借助qoog1e.com對一家韓國的酒店網(wǎng)站發(fā)起的攻擊。

Doman和Lancaster稱：

“這些行動給我們最明顯的警示是，不止一個組織在使用這種框架(雖然該框架使用范圍不止于此，某些黑客盯上了大量的組織機構(gòu)，某些人對特定地區(qū)部門更感興趣)”

誰才是攻擊者

普華永道(PwC)研究員同時還表示，他們發(fā)現(xiàn)同一類代碼中的實現(xiàn)了不同功能。

比如，在那四個受攻擊的網(wǎng)站(PwC周一發(fā)布的報告中的四個案例)中運行的同一類惡意代碼，A、B兩個網(wǎng)站和C、D兩個網(wǎng)站的代碼實現(xiàn)有著一定區(qū)別。在前兩個網(wǎng)站中它可能只是獨立的代碼塊，而在另外兩個網(wǎng)站上，它得通過插件才能實現(xiàn)。

PwC的報告寫道：“我們并沒有發(fā)現(xiàn)這些黑客之間有什么直接聯(lián)系，沒有使用諸如相同的域名或IP地址等特征。對于都在GoDaddy注冊的那些網(wǎng)站，也沒有發(fā)現(xiàn)什么特別的聯(lián)系。”

黑客之間的資源分享導(dǎo)致代碼特征重疊

“在一些攻擊案例中，某些黑客傳播分享的資源，其實是由黑客組織通過“水坑攻擊”竊取到的。當(dāng)然，這些資源也有可能是那四個案例幕后的黑客組織;或者是那些目標(biāo)定位廣闊，試圖從不同目標(biāo)上收集惡意代碼的黑客組織。”Doman和Lancaster說。

同時他們還認(rèn)為：“在我們看來，最有可能的是那些黑客組織分享資源導(dǎo)致了特征重疊(小編：分析不出來就明說嘛)。在不同的黑客組織發(fā)現(xiàn)他們擁有相同的目標(biāo)后，他們會共享惡意軟件庫、人員、甚至有時是同一批主機，所以這會造就許多相似特征。分享如ScanBox之類的框架降低了攻擊者的門檻，使攻擊者能輕松地達(dá)到更好的攻擊效果。”

原文鏈接：http://threatpost.com/four-distinct-watering-hole-attacks-dropping-scanbox-keylogger/109061