2013年05月14日09:22
【相關新聞】
索尼發布可通過智能手機操作的30倍變焦卡片相機“DSC-HX50V”
在安全服務提供商發表的博客文章裡,最近能夠看到一些令人擔憂的話題。首先談談趨勢科技發現的虛假Facebook頁面。該公司博客文章中特別提醒用戶,應防范誘騙Facebook用戶下載虛假“Adobe Flash Player”插件的網絡攻擊伎倆。
趨勢科技發現,有很多提到一個有9000多萬個“贊”的Facebook頁面信息被顯示在News Feed(信息流)中。對於部分用戶而言,帶有龐大數量“贊”的頁面非常值得他們去訪問。用戶會認為,如此受歡迎,肯定是正常無害的Facebook頁面。
| 將用戶導向虛假頁面的信息 |
 |
但趨勢科技發現,9000萬多個“贊”並不是真實的,只是一個單純的社交工程學手段而已。一旦用戶訪問該頁面,就會被導向含有虛假Flash Player插件(趨勢科技檢測為“TROJ_FAKEADB.US”)的網站。
| 導向的目的網站 |
 |
該網站會顯示對話框,敦促用戶下載Flash Player插件以播放視頻。如果用戶下載插件,並使用谷歌的“Chrome”瀏覽器,網頁就會自動關閉,並出現Chrome擴展文件(趨勢科技檢測為“TROJ_EXTADB.US”)。
被安裝的惡意軟件會使用受害用戶的Facebook賬號大量發送相同內容的信息。而且,TROJ_EXTADB.US還會與多個URL交換信息。
以Facebook為代表的SNS目前已成為用戶與朋友、同事及家人交流的主要工具。雖然使用起來非常方便,但網絡犯罪分子等懷有惡意的人也在利用SNS干壞事。趨勢科技提醒用戶,要隨時對SNS賬戶保持小心謹慎,即便是朋友或熟人發來的鏈接也不能掉以輕心。
趁波士頓馬拉鬆爆炸事件發送的垃圾郵件
下面介紹的案例是與4月16日發生的波士頓馬拉鬆爆炸事件有關的垃圾郵件。卡巴斯基實驗室在博客文章裡介紹了這種郵件。
卡巴斯基稱,波士頓馬拉鬆賽發生炸彈恐怖事件的第二天,便開始受到題目偽裝成爆炸事件相關信息的垃圾郵件。
| 趁爆炸事件發生之機發送的垃圾消息 |
 |
郵件正文中出現了末尾為“news.html”的惡意鏈接。鏈接目標網頁裡嵌入了視頻共享網站“YouTube”上的爆炸事件視頻片段,約60秒后,另一個鏈接地址指向的可執行文件就會被激活。
惡意軟件(卡巴斯基檢測為“Trojan-PSW.Win32.Tepfer”)在被感染的電腦上啟動后,就會嘗試與烏克蘭、阿根廷及台灣的多個IP地址連接。
網絡世界的行為畫像
最后介紹一個與上述內容稍微不同的話題,那就是Trusteer在博客文章裡講述的網絡“行為畫像”(behavior profiling)的相關研究內容。
很多讀者可能會從“行為畫像”這個詞匯聯想到機場安全或電視劇《CSI:科學?查班》。“維基百科”對行為畫像的描述是,“也稱犯罪人畫像(offender profiling),是刑偵人員用來准確推斷犯罪行為或犯罪分子特征的基於行為的偵查手段”。近幾年,行為畫像開始被引入網絡安全領域。但Trusteer指出,這與真正的行為畫像不同。真正的行為畫像是要鎖定犯罪嫌疑人,而計算機的行為畫像系統則是要推斷出普通用戶的行為模式。
網絡世界的行為畫像是一項極為困難的工作。既不能從視覺上確認網絡犯罪嫌疑人,也不能進行長期分析。需要單純根據檢測系統收集的有限的用戶行為來實施行為畫像。其原因是,目前的檢測系統已實現優化,可分析普通的用戶行為,定義普通的用戶配置文件,還能在超出普通配置文件范圍時設置標志。這與名為白名單的方法相似。
白名單中的問題是,網絡犯罪分子已經想出了蒙混過關的方法。Trusteer列舉了網絡罪犯繞開白名單的三個事例。
第一種伎倆是,盜取的機密信息的使用方法發生改變。犯罪分子不會馬上登錄盜來的賬戶進行非法交易,雖然多次訪問賬戶,但絕不會向外匯款。這種行為表明,除了設備分析系統之外,網絡犯罪分子還注意到了行為畫像。
網絡罪犯在使用詐騙得到的賬戶訪問網上銀行時,都使用自己的設備,因此必須要有不被檢測出來的技巧。如果突然用新設備辦理匯款手續等,肯定會受到懷疑。利用同一設備多次訪問賬戶是為了讓別人認為來自該設備的訪問是一般行為。這樣一來,在第五次訪問並進行非法匯款時,設備和行為都不會受到懷疑。
第二種手段比第一種更進一步,是使用受害人的設備。隻要不被人認為設備可疑,非法交易就基本上不會被發覺。攻擊者會使用具有RDP(遠程桌面協議)及VNC(虛擬網絡計算)功能的惡意軟件,模仿賬戶所有人的典型交易額。交易額可在歷史記錄畫面輕鬆查到,網絡犯罪分子可以做到實施詐騙時不受懷疑。通過人的行為及設備分析系統來鎖定這種非法行為幾乎是不可能的。惡意軟件開發者還備有用來學習用戶一般行為的插件。
第三種伎倆是利用惡意軟件。具體是,使用受害人的設備,利用自動腳本向預先設好的銀行賬戶匯款。金融詐騙類惡意軟件具備趁受害人不注意、在用戶的會話中植入完整腳本的功能。這種腳本會在用戶登錄后啟動,劫持會話並非法匯款。這種方法無需盜取重要信息,也無需遠程訪問受害人的賬戶,而且還省去了啟動RDP/VNC惡意軟件的麻煩。
部分行為畫像系統也許能夠通過在交易處理頁面嘗試多種測試來鎖定非法腳本。絕大部分測試需要在交易處理頁面測定信息輸入速度。比如,如果所有填寫項目能在一秒鐘填好,就說明並非人工作業,而是由自動腳本完成的。但犯罪分子為了偽裝得更像人工完成,會在惡意軟件中嵌入間隔一定時間慢慢填寫的功能。
要准確判斷這些攻擊伎倆,需要組合使用多種安全防范方法進行分析。Trusteer稱,要根據有無惡意軟件、網絡銀行會話中的RDP訪問、機密信息失竊痕跡、危險因素、賬戶活動圖等多種要素綜合觀察,這是實現真正的行為畫像的唯一途徑。(日經技術在線! 供稿)
