【相關(guān)新聞】
【韓國IT的守與攻】(下)“進(jìn)攻”: IT技術(shù)融入日常生活
英特爾新一代CPU的核芯顯卡“Iris”是什么?
歐委會初步裁定摩托羅拉濫用市場優(yōu)勢地位
索尼發(fā)布可通過智能手機(jī)操作的30倍變焦卡片相機(jī)“DSC-HX50V”
賽門鐵克:瞄準(zhǔn)中小企業(yè)的“水坑式攻擊”增加
在安全服務(wù)提供商發(fā)表的博客文章里��,最近能夠看到一些令人擔(dān)憂的話題。首先談?wù)勞厔菘萍及l(fā)現(xiàn)的虛假Facebook頁面。該公司博客文章中特別提醒用戶,應(yīng)防范誘騙Facebook用戶下載虛假“Adobe Flash Player”插件的網(wǎng)絡(luò)攻擊伎倆�����。
趨勢科技發(fā)現(xiàn)��,有很多提到一個有9000多萬個“贊”的Facebook頁面信息被顯示在News Feed(信息流)中�����。對于部分用戶而言���,帶有龐大數(shù)量“贊”的頁面非常值得他們?nèi)ピL問��。用戶會認(rèn)為,如此受歡迎����,肯定是正常無害的Facebook頁面。
|
將用戶導(dǎo)向虛假頁面的信息 |
 |
但趨勢科技發(fā)現(xiàn)�,9000萬多個“贊”并不是真實(shí)的,只是一個單純的社交工程學(xué)手段而已���。一旦用戶訪問該頁面�,就會被導(dǎo)向含有虛假Flash Player插件(趨勢科技檢測為“TROJ_FAKEADB.US”)的網(wǎng)站�����。
|
導(dǎo)向的目的網(wǎng)站 |
 |
該網(wǎng)站會顯示對話框�����,敦促用戶下載Flash Player插件以播放視頻�����。如果用戶下載插件,并使用谷歌的“Chrome”瀏覽器��,網(wǎng)頁就會自動關(guān)閉���,并出現(xiàn)Chrome擴(kuò)展文件(趨勢科技檢測為“TROJ_EXTADB.US”)�����。
被安裝的惡意軟件會使用受害用戶的Facebook賬號大量發(fā)送相同內(nèi)容的信息���。而且,TROJ_EXTADB.US還會與多個URL交換信息����。
以Facebook為代表的SNS目前已成為用戶與朋友、同事及家人交流的主要工具�。雖然使用起來非常方便,但網(wǎng)絡(luò)犯罪分子等懷有惡意的人也在利用SNS干壞事����。趨勢科技提醒用戶,要隨時對SNS賬戶保持小心謹(jǐn)慎��,即便是朋友或熟人發(fā)來的鏈接也不能掉以輕心。
趁波士頓馬拉松爆炸事件發(fā)送的垃圾郵件
下面介紹的案例是與4月16日發(fā)生的波士頓馬拉松爆炸事件有關(guān)的垃圾郵件�����?ò退够鶎(shí)驗(yàn)室在博客文章里介紹了這種郵件��。
卡巴斯基稱��,波士頓馬拉松賽發(fā)生炸彈恐怖事件的第二天,便開始受到題目偽裝成爆炸事件相關(guān)信息的垃圾郵件�����。
|
趁爆炸事件發(fā)生之機(jī)發(fā)送的垃圾消息 |
 |
郵件正文中出現(xiàn)了末尾為“news.html”的惡意鏈接���。鏈接目標(biāo)網(wǎng)頁里嵌入了視頻共享網(wǎng)站“YouTube”上的爆炸事件視頻片段����,約60秒后��,另一個鏈接地址指向的可執(zhí)行文件就會被激活����。
惡意軟件(卡巴斯基檢測為“Trojan-PSW.Win32.Tepfer”)在被感染的電腦上啟動后�����,就會嘗試與烏克蘭����、阿根廷及臺灣的多個IP地址連接�。
網(wǎng)絡(luò)世界的行為畫像
最后介紹一個與上述內(nèi)容稍微不同的話題,那就是Trusteer在博客文章里講述的網(wǎng)絡(luò)“行為畫像”(behavior profiling)的相關(guān)研究內(nèi)容����。
很多讀者可能會從“行為畫像”這個詞匯聯(lián)想到機(jī)場安全或電視劇《CSI:科學(xué)捜查班》�!熬S基百科”對行為畫像的描述是,“也稱犯罪人畫像(offender profiling)��,是刑偵人員用來準(zhǔn)確推斷犯罪行為或犯罪分子特征的基于行為的偵查手段”��。近幾年���,行為畫像開始被引入網(wǎng)絡(luò)安全領(lǐng)域��。但Trusteer指出���,這與真正的行為畫像不同���。真正的行為畫像是要鎖定犯罪嫌疑人,而計算機(jī)的行為畫像系統(tǒng)則是要推斷出普通用戶的行為模式��。
網(wǎng)絡(luò)世界的行為畫像是一項(xiàng)極為困難的工作�。既不能從視覺上確認(rèn)網(wǎng)絡(luò)犯罪嫌疑人,也不能進(jìn)行長期分析�。需要單純根據(jù)檢測系統(tǒng)收集的有限的用戶行為來實(shí)施行為畫像。其原因是�����,目前的檢測系統(tǒng)已實(shí)現(xiàn)優(yōu)化���,可分析普通的用戶行為,定義普通的用戶配置文件���,還能在超出普通配置文件范圍時設(shè)置標(biāo)志��。這與名為白名單的方法相似��。
白名單中的問題是����,網(wǎng)絡(luò)犯罪分子已經(jīng)想出了蒙混過關(guān)的方法。Trusteer列舉了網(wǎng)絡(luò)罪犯繞開白名單的三個事例���。
第一種伎倆是�,盜取的機(jī)密信息的使用方法發(fā)生改變�。犯罪分子不會馬上登錄盜來的賬戶進(jìn)行非法交易,雖然多次訪問賬戶��,但絕不會向外匯款��。這種行為表明����,除了設(shè)備分析系統(tǒng)之外,網(wǎng)絡(luò)犯罪分子還注意到了行為畫像���。
網(wǎng)絡(luò)罪犯在使用詐騙得到的賬戶訪問網(wǎng)上銀行時��,都使用自己的設(shè)備�,因此必須要有不被檢測出來的技巧����。如果突然用新設(shè)備辦理匯款手續(xù)等,肯定會受到懷疑。利用同一設(shè)備多次訪問賬戶是為了讓別人認(rèn)為來自該設(shè)備的訪問是一般行為���。這樣一來���,在第五次訪問并進(jìn)行非法匯款時,設(shè)備和行為都不會受到懷疑�。
第二種手段比第一種更進(jìn)一步,是使用受害人的設(shè)備�。只要不被人認(rèn)為設(shè)備可疑,非法交易就基本上不會被發(fā)覺��。攻擊者會使用具有RDP(遠(yuǎn)程桌面協(xié)議)及VNC(虛擬網(wǎng)絡(luò)計算)功能的惡意軟件��,模仿賬戶所有人的典型交易額��。交易額可在歷史記錄畫面輕松查到�����,網(wǎng)絡(luò)犯罪分子可以做到實(shí)施詐騙時不受懷疑��。通過人的行為及設(shè)備分析系統(tǒng)來鎖定這種非法行為幾乎是不可能的��。惡意軟件開發(fā)者還備有用來學(xué)習(xí)用戶一般行為的插件�����。
第三種伎倆是利用惡意軟件�。具體是,使用受害人的設(shè)備�,利用自動腳本向預(yù)先設(shè)好的銀行賬戶匯款。金融詐騙類惡意軟件具備趁受害人不注意��、在用戶的會話中植入完整腳本的功能���。這種腳本會在用戶登錄后啟動����,劫持會話并非法匯款���。這種方法無需盜取重要信息�,也無需遠(yuǎn)程訪問受害人的賬戶���,而且還省去了啟動RDP/VNC惡意軟件的麻煩�。
部分行為畫像系統(tǒng)也許能夠通過在交易處理頁面嘗試多種測試來鎖定非法腳本�。絕大部分測試需要在交易處理頁面測定信息輸入速度。比如�����,如果所有填寫項(xiàng)目能在一秒鐘填好,就說明并非人工作業(yè)����,而是由自動腳本完成的。但犯罪分子為了偽裝得更像人工完成�����,會在惡意軟件中嵌入間隔一定時間慢慢填寫的功能�。
要準(zhǔn)確判斷這些攻擊伎倆,需要組合使用多種安全防范方法進(jìn)行分析���。Trusteer稱����,要根據(jù)有無惡意軟件�、網(wǎng)絡(luò)銀行會話中的RDP訪問、機(jī)密信息失竊痕跡����、危險因素��、賬戶活動圖等多種要素綜合觀察,這是實(shí)現(xiàn)真正的行為畫像的唯一途徑�����。(日經(jīng)技術(shù)在線�����! 供稿)
