商業(yè)間諜軟件是一種軟件應(yīng)用程序/腳本，也被稱為“跟蹤軟件”、“監(jiān)視軟件”，主要功能包括非法數(shù)據(jù)收集、后門行為、遠(yuǎn)程控制工具、屏幕截圖、密鑰記錄以及復(fù)制設(shè)備剪貼板中的內(nèi)容等。商業(yè)間諜軟件可以幫助惡意行為者監(jiān)視受害者的計算機設(shè)備，秘密地竊取數(shù)據(jù)并在現(xiàn)實世界中造成傷害。

對于組織的網(wǎng)絡(luò)安全人員來說，深入了解并認(rèn)真應(yīng)對商業(yè)間諜軟件帶來的安全風(fēng)險是非常重要的。他們應(yīng)當(dāng)采取必要措施來保護(hù)組織免受此類威脅的侵害，降低商業(yè)間諜軟件帶來的風(fēng)險，保護(hù)組織的關(guān)鍵信息資產(chǎn)和業(yè)務(wù)數(shù)據(jù)的安全。

商業(yè)間諜軟件運行原理

大多數(shù)商業(yè)間諜軟件會首先進(jìn)入目標(biāo)用戶的設(shè)備，感染操作系統(tǒng)的關(guān)鍵文件，然后消耗CPU的處理能力竊取數(shù)據(jù)，記錄用戶活動或獲得系統(tǒng)級訪問權(quán)限。一旦收集到數(shù)據(jù)，攻擊者便可以輕松實現(xiàn)任何目標(biāo)，比如勒索、泄露敏感信息、超定向廣告、創(chuàng)收、間諜活動和數(shù)據(jù)銷售等。

一般來說，商業(yè)間諜軟件只有一個任務(wù)：監(jiān)視目標(biāo)用戶的上網(wǎng)習(xí)慣。但有時，間諜軟件也會通過產(chǎn)生虛假流量將用戶定向到虛假的產(chǎn)品登錄頁面，從而使黑客掌控的網(wǎng)站受益。

為了被安裝到用戶的設(shè)備上，商業(yè)間諜軟件會欺騙用戶點擊可疑的鏈接、按鈕或彈出式廣告，從而進(jìn)入惡意網(wǎng)站。攻擊者也會在合法軟件包中植入間諜軟件。此外，瀏覽器擴(kuò)展也可以用間諜軟件感染用戶的設(shè)備。一旦進(jìn)入系統(tǒng)，擁有足夠技能和資源的黑客往往會隱藏間諜軟件的存在，阻止用戶卸載或刪除間諜軟件，甚至向用戶錯誤傳達(dá)應(yīng)用程序的運行信息。

商業(yè)間諜軟件通常會在后臺運行，并改變設(shè)備與外界的正常通信方式。每個商業(yè)間諜軟件都會以不同的方法來完成預(yù)設(shè)的任務(wù)。一些商業(yè)間諜軟件還會改變系統(tǒng)設(shè)置、互聯(lián)網(wǎng)或防火墻設(shè)置或Windows注冊表，并訪問受限制的內(nèi)容。

商業(yè)間諜軟件的類型

近年來，隨著數(shù)字化經(jīng)濟(jì)的快速發(fā)展，這也推動了商業(yè)間諜軟件數(shù)量的急劇增長。目前，商業(yè)間諜軟件的主要類型包括：

• 信息竊取程序（Infostealers）：Infosteers是最常見的一種商業(yè)間諜軟件類型，它首先收集用戶的信息，然后將所有數(shù)據(jù)非法傳輸給攻擊者。同時，用戶并不知道商業(yè)間諜軟件正在運行并收集各種信息（從搜索歷史數(shù)據(jù)到電子郵件帳戶再到密碼和存儲內(nèi)容等）。
• 廣告軟件（Adware）：廣告軟件通常會導(dǎo)致用戶設(shè)備的屏幕上顯示彈出式廣告。如果用戶錯誤地點擊了彈出式廣告并向網(wǎng)站提供了任何類型的信息，網(wǎng)站/表單將存儲該信息并將包含該數(shù)據(jù)的消息發(fā)送給黑客。
• 鍵盤記錄程序（Keyloggers）：鍵盤記錄程序的主要工作是記錄用戶在任何給定會話中的所有按鍵。如果用戶在鍵盤記錄程序處于活動狀態(tài)的會話中鍵入密碼，則該密碼將被記錄下來。鍵盤記錄程序也可以使用類似的策略來竊取信用卡信息。鍵盤記錄程序保存的任何記錄都會被發(fā)送給攻擊者。
• 風(fēng)險軟件（Riskware）：風(fēng)險軟件也是一種商業(yè)間諜軟件，由于軟件中存在固有安全漏洞，因此對用戶來說十分危險。有時，這類軟件的開發(fā)人員違反了許多道德和法律要求，故意使應(yīng)用程序與某些程序不兼容。與其他間諜軟件類型類似，風(fēng)險軟件允許黑客收集敏感數(shù)據(jù)并在管理級別授予過程控制權(quán)。

商業(yè)間諜軟件典型實例分析

1.Pegasus  

所有者：NSO Group公司

目標(biāo)操作系統(tǒng)：iOS、Android；

零日漏洞利用：蘋果iOS、蘋果Safari、WhatsApp、蘋果iMessage；

零點擊漏洞利用：支持；

別名：Chrysaor、DEV-0336、Night Tsunami

NSO Group是一家創(chuàng)立于2010年的以色列技術(shù)公司，專注于開發(fā)僅向政府銷售的入侵和監(jiān)控軟件，其部分創(chuàng)始成員來自以色列的8200國家情報部隊，屬于該行業(yè)中最有影響力的公司之一。NSO公司旗下最知名的間諜軟件當(dāng)屬Pegasus。

Pegasus能夠支持多種移動平臺，可通過多種方式植入目標(biāo)設(shè)備，最新版的Pegasus軟件甚至可在零點擊的情況下入侵目標(biāo)手機并自動激活程序。

【Pegasus間諜軟件運行原理】

Pegasus是一款結(jié)構(gòu)復(fù)雜，功能完善的高級間諜軟件，具備閱讀短信、監(jiān)聽通話、收集密碼、位置跟蹤，訪問目標(biāo)設(shè)備的麥克風(fēng)和攝像頭，收集應(yīng)用程序信息等功能。數(shù)據(jù)顯示，全球至少50多個國家在使用pegasus間諜軟件從事監(jiān)聽工作，監(jiān)聽對象包括了政府官員、企業(yè)高管、記者等人士，被監(jiān)聽人數(shù)可能高達(dá)5萬人。

2.DevilsTongue、Sherlock

所有者：Candiru公司

目標(biāo)操作系統(tǒng)：Windows、macOS、iOS、Android；

零日漏洞利用：微軟Windows、谷歌Chrome；

零點擊漏洞利用：可以；

別名：SOURGUM、Caramel Tsunami、Saito Tech Ltd。

Candiru也是一家專門提供間諜軟件服務(wù)的以色列公司，成立于2014年，主要業(yè)務(wù)是向政府客戶銷售間諜軟件，產(chǎn)品包括用于監(jiān)視計算機、移動設(shè)備和云帳戶的解決方案。該公司的名稱曾多次更改，目前的官方名稱是Saito Tech Ltd。

【2014年-2022年，Candiru官方名稱變更情況】

該公司的間諜軟件名為DevilsTongue，是Windows平臺的間諜軟件，其一旦部署到目標(biāo)的Windows系統(tǒng)中，即可完全訪問受感染設(shè)備，DevilsTongue還具備多種功能，包括收集和竊取受害者的文件，解密和竊取Windows設(shè)備上的Signal信息，并從LSASS和Chrome、Internet Explorer、Firefox、Safari和Opera網(wǎng)絡(luò)瀏覽器中竊取cookies和保存的密碼。此外，Candiru還提供了一個名為Sherlock的間諜工具，可以針對各種操作系統(tǒng)（Windows、iOS和Android）進(jìn)行零點擊攻擊。

數(shù)據(jù)顯示，DevilsTongue目前已經(jīng)感染了數(shù)百名來自世界各地的受害者。

3.Alien、Predator

所有者：Cytrox / Intellexa公司；

目標(biāo)操作系統(tǒng)：Android、iOS；

零日漏洞利用：Google Chrome、Google Android、Apple iOS；

零點擊攻擊利用：僅在使用Mars套件時存在；

別名：Helios、Balinese Ltd、Peterbald Ltd

Alien/Predator間諜軟件最初由Cytrox開發(fā)，該公司成立于2017年，總部位于北馬其頓。后來，Cytrox被位于塞浦路斯的Intellexa公司收購，Intellexa的創(chuàng)始人是曾長期在以色列軍事情報部門擔(dān)任高級職位的Tal Dilian。

Alien/Predator間諜軟件主要針對Android和iOS操作系統(tǒng)進(jìn)行攻擊。攻擊始于向受害者發(fā)送包含惡意鏈接的消息。一旦被點擊，這些鏈接就會引導(dǎo)受害者進(jìn)入攻擊者控制的網(wǎng)站，隨后，攻擊者會利用瀏覽器（Chrome）和操作系統(tǒng)（Android）的漏洞感染設(shè)備。然后，它會立即將受害者重定向到一個合法的頁面，以避免被懷疑。

Intellexa還提供Mars間諜軟件套件，其中一部分安裝在受害者的移動運營商一側(cè)。一旦安裝完成，Mars就會等待目標(biāo)個人訪問HTTP頁面，并在訪問發(fā)生時使用中間人方法將受害者重定向到受感染的站點，進(jìn)而觸發(fā)上一段中描述的過程。

4.Subzero

所有者：DSIRF公司

目標(biāo)操作系統(tǒng)：Windows；

零日漏洞利用：Microsoft Windows、Adobe Reader；

零點擊漏洞利用：未發(fā)現(xiàn)；

別名：KNOTWEED、Denim Tsunami、MLS Machine Learning Solutions GmbH；

Subzero間諜軟件由奧地利DSIRF公司（DSR決策支持信息研究取證有限公司）開發(fā)，并于2021年首次曝光。2022年7月，微軟威脅情報團(tuán)隊發(fā)布了一份關(guān)于代號為KNOTWEED （Denim Tsunami）間諜軟件研究報告，研究人員正式將其確定為DSIRF Subzero。

【DSIRF幻燈片詳細(xì)介紹了間諜軟件Subzero的功能】

為了破壞目標(biāo)系統(tǒng)，Subzero商業(yè)間諜軟件利用了Windows和Adobe Reader的多個零日漏洞。攻擊媒介通常涉及向受害者發(fā)送包含惡意PDF文件的電子郵件，該電子郵件在打開時會觸發(fā)一系列漏洞利用，并最終在受害者的設(shè)備上啟動無形的間諜軟件。

該間諜軟件會收集在受感染系統(tǒng)中可以找到的任何密碼和其他身份驗證憑據(jù)，范圍涵蓋瀏覽器、電子郵件客戶端、本地安全授權(quán)子系統(tǒng)服務(wù)（LSASS）和Windows密碼管理器。這些憑據(jù)會被進(jìn)一步用來收集有關(guān)受害者的信息，并建立更廣泛的監(jiān)視活動。

從2020年開始，Subzero軟件就被用來攻擊歐洲和中北美洲的組織。2023年8月，DSIRF宣布將關(guān)閉業(yè)務(wù)，但其子公司MLS仍然在繼續(xù)開展類似的網(wǎng)絡(luò)間諜活動。

5.Heliconia

所有者：Variston公司

目標(biāo)操作系統(tǒng)：Windows、Linux；

零日漏洞利用：Microsoft Defender、Google Chrome、Mozilla Firefox；

零點擊漏洞利用：未發(fā)現(xiàn)；

2022年，谷歌公司展示了其對商業(yè)間諜軟件Heliconia的研究分析成果。谷歌威脅分析小組（TAG）的報告描述了這種商業(yè)間諜軟件的三個組成部分：

• 第一部分：Heliconia Noise，主要利用了Google Chrome V8 JavaScript引擎的一個漏洞。在利用之后，Chrome的沙箱會被繞過，間諜軟件可以在目標(biāo)系統(tǒng)中啟動。
• 第二部分：Heliconia Soft，主要利用了Windows反病毒軟件Microsoft Defender所嵌JavaScript引擎中的一個漏洞。其工作原理如下：首先，向受害者發(fā)送一個包含惡意JavaScript代碼的受感染PDF文件的鏈接。當(dāng)下載的PDF文件開始自動掃描時，此代碼會觸發(fā)Microsoft Defender漏洞。由于利用這個漏洞，Heliconia獲得了操作系統(tǒng)級別的特權(quán)，并能夠在受害者的計算機上安裝間諜軟件。
• 第三部分：Helicona Files，主要利用了Mozilla Firefox瀏覽器的XSLT處理器中的一個漏洞來攻擊運行Windows或Linux的計算機。從這個影響Firefox 64到68版本的漏洞來看，該間諜軟件是在很早前就開發(fā)完成，至少從2018年便開始使用。

6.Reign

所有者：QuaDream公司

目標(biāo)操作系統(tǒng)：iOS；

零日漏洞利用：蘋果iOS；

零點擊漏洞利用：支持；

別名：DEV-0196、Carmine Tsunami、InReach；

QuaDream是由NSO集團(tuán)的前雇員創(chuàng)建，其開發(fā)的間諜軟件Reign與Pegasus有很多驚人地相似之處。例如，為了用Reign間諜軟件感染iphone，他們利用了類似于FORCEDENTRY的零點擊漏洞。

安全研究人員將這個漏洞命名為ENDOFDAYS。這個漏洞利用了iCloud日歷中的漏洞作為初始攻擊向量，使攻擊者能夠通過向日歷發(fā)送不可見的惡意邀請來感染iPhone。

iOS版Reign主要包括如下監(jiān)視功能：

• 搜索文件和數(shù)據(jù)庫；
• 通話錄音；
• 通過麥克風(fēng)進(jìn)行竊聽；
• 用前置或后置攝像頭拍照；
• 盜取密碼；
• 生成iCloud雙因素認(rèn)證一次性代碼；
• 跟蹤位置；
• 清除設(shè)備感染的痕跡；

據(jù)報道，QuaDream還開發(fā)了攻擊安卓設(shè)備的惡意軟件，但沒有公開的信息。QuaDream擁有極嚴(yán)的保密機制，它沒有網(wǎng)站，谷歌地圖上也找不到該公司的辦公室，同時還禁止其員工在社交媒體上討論他們的工作。2023年4月，該公司突然宣布停止運營，但目前還不完全清楚這是否僅是戰(zhàn)術(shù)性的撤退。

商業(yè)間諜軟件防范建議

企業(yè)組織要確保對使用商業(yè)間諜軟件的攻擊進(jìn)行全面保護(hù)通常并不容易，而遵循以下建議可以增加間諜軟件運行的難度：

• 定期更新所有計算設(shè)備上的軟件系統(tǒng)，尤其是操作系統(tǒng)、瀏覽器和消息應(yīng)用程序；
• 不要點擊任何可疑的郵件或訪問鏈接；
• 在瀏覽HTTP網(wǎng)頁時使用VPN屏蔽互聯(lián)網(wǎng)流量，確保不會被重定向到惡意網(wǎng)站；
• 定期重新啟動計算機設(shè)備，以對抗尚未建立持久機制的內(nèi)存駐留惡意軟件；
• 在所有設(shè)備上安裝具有實時掃描功能的惡意軟件檢測工具，以便根據(jù)行為分析，在間諜軟件造成重大損害之前，及時檢測和消除其惡意感染；
• 定期在網(wǎng)絡(luò)環(huán)境中進(jìn)行威脅搜索，尋找潛在感染和數(shù)據(jù)泄露的跡象；
• 定期評估數(shù)據(jù)存儲策略。只保留業(yè)務(wù)目的所需的數(shù)據(jù)，并確保使用強加密和最低權(quán)限訪問對其進(jìn)行良好保護(hù)；
• 啟用安全功能，調(diào)整設(shè)置，使用面部識別、指紋或pin碼解鎖設(shè)備，阻止需要手動安裝的商業(yè)間諜軟件；
• 要教育員工，避免連接免費和公共WiFi網(wǎng)絡(luò)。