大多数恶意软件很普通,但这些创新的技术正在利用即使是最聪明的用户的系统和网络
数以百万计的恶意软件和数以千计的恶意黑客团伙在今天的网络世界里游荡,他们的目标是容易上当受骗。重复使用同样的战术,即使不是几十年,他们没有做什么新的或有趣的利用我们的懒惰,判断失误,或纯粹的白痴。
但是每年反病毒研究人员都会遇到一些令人惊讶的技术。被恶意软件或黑客使用,这些受启发的技术延伸了恶意黑客的边界。可以把它们看作是越轨的创新。就像任何创新的东西一样,许多都是简单的衡量标准。
在NetworkWorld上:2013年科技、科学和发明行业的死亡人数引人注目+
[把你自己抄写进去IT安全顾问的14个肮脏伎俩,9流行的安全实践,即不起作用, 和10个疯狂的安全技巧。|了解如何保护您的系统网页浏览器深度潜水PDF特别报告和安全中心通讯,来自Infoworld。]
以上世纪90年代的Microsoft Excel宏病毒为例,它在电子表格中悄悄地、随机地用大写O替换0,立即将数字转换为值为0的文本标签——在大多数情况下,这种变化直到备份系统只包含坏数据很久之后才被发现。
当今最具独创性的恶意软件和黑客同样鬼鬼祟祟、诡计多端。下面是一些值得注意的最新技术,它们激起了我作为安全研究员的兴趣,以及我从中学到的经验教训。其中一些是站在过去恶意创新者的肩膀上的,但它们在今天非常流行,甚至被用来欺骗最精明的用户。
隐形攻击1:虚假无线接入点没有什么黑客比虚假的WAP(无线接入点)更容易实现的了。任何一个使用软件和无线网卡的人都可以宣传他们的计算机是可用的WAP,然后在公共位置连接到真实的、合法的WAP。
想想所有你或你的用户在当地咖啡店、机场或公共集会场所连接到“免费无线”网络的时候。星巴克的黑客称他们的假WAP为“星巴克无线网络”,亚特兰大机场的黑客称其为“亚特兰大机场免费无线”,让各种各样的人在几分钟内连接到他们的电脑上。然后,黑客可以从不知情的受害者和他们的目标远程主机之间发送的数据流中嗅出未受保护的数据。您会惊讶地发现,有多少数据(甚至是密码)仍然是明文发送的。
更邪恶的黑客会要求他们的受害者创建一个新的访问帐户来使用他们的WAP。这些用户很可能使用一个普通的登录名或他们的电子邮件地址,以及他们在其他地方使用的密码。然后,WAP黑客可以尝试在流行网站上使用相同的登录证书——Facebook、Twitter、亚马逊(Amazon)、iTunes等等——而受害者永远不会知道它是如何发生的。
课程:您无法信任公共无线接入点。始终保护通过无线网络发送的机密信息。考虑使用VPN连接,可保护您的所有通信,并不会在公共和私有网站之间回收密码。
隐身攻击2:窃取Cookie浏览器cookie是一种奇妙的发明,它可以在用户浏览网站时保存“状态”。这些小文本文件,通过网站发送到我们的机器上,帮助网站或服务跟踪我们的访问,或多次访问,使我们更容易购买牛仔裤,例如。有什么不喜欢的呢?
答:黑客窃取我们的cookie,并因此成为我们的一部分——这种情况现在越来越频繁。相反,他们成为认证我们的网站,就好像他们是我们,并提供了有效的登录名和密码。
当然,自从网络发明以来,cookie盗窃就已经存在了,但是现在工具让这个过程变得像点击,点击,点击一样简单。萤火虫例如,是Firefox浏览器附加程序,允许人们从其他人窃取未受保护的cookie。当与假WAP或共享公共网络一起使用时,Cookie Hijacking可能非常成功。FireSheep将显示它发现的cookie的所有名称和位置,并且只需单击单击鼠标,Hacker可能会接管会话(请参阅码栏博客以获取示例使用firesheep有多容易).
更糟糕的是,黑客现在可以偷走SSL / TLS保护的饼干,并嗅出薄空气。2011年9月,攻击标记为“野兽”它的创建者证明,即使SSL/ tls保护的cookie也可以获得。进一步改进和改良今年,包括众所周知犯罪,已经偷窃和重用加密的饼干更容易。
每次cookie攻击发布后,网站和应用程序开发者都被告知如何保护他们的用户。有时答案是使用最新的密码密码;其他时候是禁用一些大多数人不使用的模糊特性。关键是所有Web开发人员都必须使用安全的开发技术来减少cookie盗窃。如果你的网站在几年内没有更新加密保护,你可能就有风险了。
教训:即使是加密的cookie也可能被窃取。连接到网站,利用安全的开发技术和最新的加密。你的HTTPS网站应该使用最新的加密,包括TLS 1.2版本。
隐形攻击第3号:文件名称技巧自从恶意软件出现以来,黑客们就一直在使用文件名技巧来让我们执行恶意代码。早期的例子包括将文件命名为一些东西,以鼓励毫无怀疑的受害者点击它(如AnnaKournikovaNudePics)和使用多个文件扩展名(如annakournikovanudownloads . zip .exe)。直到今天,微软Windows和其他操作系统很容易隐藏“众所周知的”文件扩展名,这将使annakournikovanubuilds . gif . exe看起来像annakournikovanubuilds . gif。
几年前,被称为“双胞胎”、“衍生者”或“伴生病毒”的恶意软件病毒程序依赖于微软Windows/DOS的一个鲜为人知的特性,即即使你输入文件名Start.exe, Windows也会查找,如果找到,则执行Start.com。伴随病毒会查找硬盘上的所有。EXE文件,并创建一个与EXE同名,但文件扩展名为。com的病毒。微软早就解决了这个问题,但早期黑客的发现和利用为隐藏病毒的创造性方法奠定了基础,这些病毒至今仍在不断进化。
在当前使用的更复杂的文件重命名技巧中,使用Unicode字符会影响用户所呈现的文件名的输出。例如,Unicode字符(U+202E),称为从右到左覆盖,可以骗过很多系统显示一个文件实际上名为annakournikovanudevi .exe作为AnnaKournikovaNudexe.avi。
教训:无论何时,在执行任何文件之前,确保知道它的真实、完整的名称。
隐形袭击第4号:位置,位置,位置另一个使用操作系统对本身的有趣隐身诀窍是一个名称为“相对与绝对”的文件定位技巧。在Windows(Windows XP,2003和早期)和其他早期操作系统的遗留版本中,如果您在文件名中键入并按Enter键入,或者操作系统代表您正在寻找文件,它将始终从您当前的文件夹或目录位置首先,在查看其他地方之前。这种行为可能似乎有效和无害,但黑客和恶意软件使用它的优势。
例如,假设您想运行内置的无害Windows计算器(calc.exe)。打开命令提示符,输入calc.exe,然后按Enter,这非常容易(通常比多次鼠标点击要快)。但恶意软件可以创建一个名为calc.exe的恶意文件,并将其隐藏在当前目录或你的主文件夹中;当您试图执行calc.exe时,它会转而运行伪造的副本。
我喜欢这个错误作为一个渗透试验器。通常,在我闯入计算机并需要提升到管理员的权限之后,我将采用一个未知的先前易受攻击的软件的未分割版本,并将其放在临时文件夹中。我所要做的大多数时间都是一个易受攻击的可执行文件或DLL,同时留下整个,先前安装了修补的程序。我会在我的临时文件夹中键入程序可执行文件的文件名,并且Windows将从我的临时文件夹中加载我的易受攻击的特洛伊木马而不是最近修补的版本。我喜欢它 - 我可以利用一个完全修补的系统,单个坏文件。
Linux,UNIX和BSD系统已经解决了十多年的问题。Microsoft通过Windows Vista / 2008的版本修复了2006年的问题,尽管由于向后兼容性问题,问题仍然存在于遗留版本中。微软也一直在警告和教导开发人员多年来使用自己的程序中的绝对(而不是相对)文件/路径名称。尽管如此,成千上万的遗留计划容易受到定位技巧的影响。黑客比任何人都更了解这一点。
课程:使用强制执行绝对目录和文件夹路径的操作系统,并首先查找默认系统区域中的文件。
隐身攻击5:主机文件重定向今天大多数计算机用户都不知道是存在的名为hosts的DNS相关文件。位于Windows中的C:\ Windows \ System32 \ Drivers \ etc下,主机文件可以包含链接键入域名的条目,以其对应的IP地址。主机文件最初由DNS使用,作为主机到本地解析名称到IP地址查找的方式,而无需联系DNS服务器并执行递归名称解析。在大多数情况下,DNS功能都很好,大多数人从未与其主机文件进行交互,虽然它在那里。
黑客和恶意软件喜欢把他们自己的恶意条目写入主机,这样当有人输入一个流行的域名——比如,bing.com——他们就会被重定向到其他更恶意的地方。恶意重定向通常包含一个原始想要的网站的近乎完美的副本,因此受影响的用户不知道切换。
这个漏洞至今仍被广泛使用。
教训:如果你不能弄清楚为什么你被恶意重定向,检查你的Hosts文件。
隐身攻击6:水坑攻击小袋鼠的攻击因其独特的方法而得名。在这些攻击中,黑客利用目标受害者经常在特定的物理或虚拟地点见面或工作这一事实。然后,他们“毒害”该位置,以实现恶意目标。
例如,大多数大型公司都有当地的咖啡店,酒吧或餐厅,与公司员工欢迎。攻击者将创建假的WAP,以便尽可能获得尽可能多的公司凭据。或者攻击者会恶意地修改经常访问的网站,以做同样的事情。受害者往往更加轻松和毫无戒心,因为目标位置是公共或社会门户网站。
今年,苹果(Apple)、脸书(Facebook)和微软(Microsoft)等几家知名科技公司因其开发者访问的热门应用开发网站而遭到攻击,成为重大新闻。这些网站已经被恶意的JavaScript重定向毒害,在开发者的电脑上安装了恶意软件(有时是零天)。这些被破坏的开发人员工作站随后被用来访问受害公司的内部网络。
教训:确保你的员工意识到流行的“酒吧”是黑客最常见的目标。
隐形袭击第7号:诱饵和开关最有趣的黑客技术之一被称为诱饵和开关。受害者被告知他们正在下载或运行一个程序,他们暂时是在下载或运行,但随后就会被一个恶意程序切换掉。例子比比皆是。
恶意软件的传播者在流行网站上购买广告位是很常见的。网站在确认订单时,会显示一个非恶意链接或内容。该网站批准了广告,并收取费用。然后,坏人将链接或内容换成更恶意的内容。他们通常会对新的恶意网站进行编码,如果浏览者的IP地址属于最初的审批者,他们就会将浏览者重定向回原来的链接或内容。这使得快速检测和拆除变得复杂。
我最近看到的最有趣的诱饵转换攻击涉及坏人,他们创造了任何人都可以下载和使用的“免费”内容。(考虑Web页面底部的管理控制台或访问者计数器。)这些免费的applet和元素通常包含一个许可条款,大意是:“只要原始链接仍然存在,就可以自由重用。”不知情的用户真诚地使用内容,而不触及原始链接。通常原始链接只包含一个图形文件,徽标或其他琐碎的东西。后来,在虚假元素被包含在数千个网站之后,最初的恶意开发人员将无害的内容更改为更恶意的内容(比如有害的JavaScript重定向)。