宙斯之类的金融恶意软件让制造者可以获得可观的投资回报。只要问一下布赖恩·克雷布斯,一位不知疲倦的对宙斯危害行为进行报道的信息安全记者就可以知道真实的情况。今天,笔者也针对宙斯攻击原理和防护发表一点拙见。
什么是金融类恶意软件?
金融类恶意软件关注的重点是利用自动清算系统(ACH)进行的交易和电子资金划拨 (EFT)。这类恶意软件会试图窃取登录和会计信息,以便利用电子资金划拨的形式将受害者的资金转移到攻击者选择的银行账户上。
在对金融类恶意软件进行深入研究后,安全专家们发现存在两种类型的攻击模式。
常规攻击:这种类型的恶意软件旨在通过所有SSL会话而不仅仅是银行站点来盗取用户登录信息。举例来说,攻击者还搜集基于网络的电子邮件和脸谱之类社会化网站的证书,具体的步骤如下所示:
1、使用者访问网站的登录页面。
2、接下来使用者输入相应的登录信息,并点击进入。
3、金融类恶意软件拦截登录POST请求,在加密之前获得登录用户名和密码。
4、恶意软件将窃取的信息发送回攻击者的命令和控制服务器,通常情况下是通过HTTP方式。
5、依然被蒙在鼓里的使用者登录到账户中。
6、此后,攻击者就可以访问该账户并将资金转移出去。
7、常规攻击针对的是没有使用多因素身份验证模式的金融机构。
针对性攻击:正是这种类型的攻击让宙斯全球扬名。攻击者针对特定的网络金融机构建立了配置文件。这些文件被应用在所谓的浏览器中间人(MitB)攻击中,这种模式可以让网络浏览器访问由配置文件提供的冒牌页面。具体的步骤如下所示:
1、受害人输入银行的网络地址链接。
2、银行的网络服务器容许下载登录页面。
3、与此同时,恶意代码在配置文件中检索匹配的网络地址。如果检索到了,攻击者的网页副本就会被注入。
4、然后受害人就会进入相应的登录页面,所有信息会被发送到攻击者的命令和控制服务器。
如果功能足够完善的话,针对性攻击也可以对受害人的交易进行操纵,将资金转移到攻击者的银行账户中。
Carberp的出现
正如我前面提到,坏人知道闷声发大财的真理。因此,当宙斯的功能家喻户晓并且被执法机关重点关注后,他们知道是时间改头换面了。现在,就让我们来认识一下Carberp,一个相对陌生的金融类恶意软件。谁知道它是怎么得名的?
Carberp可以支持常规攻击和针对性攻击。它还具备更新的功能,让自己变得比宙斯更有威胁。下面列出的,就是在Carberp里发现的一些新功能:
· 在运行的时间,Carberp并不需要管理员权限;它还可以驻留在内存里,
· 它可以感染Windows XP、Vista和7等系统。
· 它可以对包括使用EV-SSL的HTTPS在内所有类型的网络流量进行控制。
· 被窃取的信息在发送到金融网站之前就会被传送到指挥和控制服务器上。这消除了一次性密码带来的所有安全效果。
它的可怕之处在于运行的时间不需要管理员权限。这也意味着在系统重新启动后Carberp必须重新激活。它通过复杂当前登录用户在启动时必须的进程来实现这一点。
通常情况下,找到一个文件是很容易的事情。但是,Carberp的可执行文件CHKNTFS.EXE是隐藏的。仅凭Windows资源管理器或使用命令行是无法找到它的。
幸运的是,Carberp的隐藏方式也是它的致命弱点。
Carberp会删除其它恶意软件
刚开始,我以为该恶意软件关闭防病毒应用和其它恶意软件是作者自负的表现;但是,在考虑到它的本质是金融类恶意软件后,我明白为什么这么做很有必要的理由了。
金融类恶意软件的目标可能会引起不止一名攻击者的关注。如果登录信息被多名犯罪分子使用的话,在受害人和银行发现有什么事不对劲时,它将成为最明显的目标。此外,犯罪分子不喜欢同行从自己这里窃取信息。
保护措施
说到Carberp的致命弱点,就是系统看门狗winpatrol和进程管理器process explorer之类工具都可以将它隐藏的进程显示出来。我已经请求winpatrol的开发者比尔·吕特沃尼就应注意的问题提出建议了。
对于所有的金融类恶意软件来说,共同的特点是会复制受害人的用户名和密码。对于Carberp,我没有明确的证据来证明反键盘记录工具可以提供帮助。但是,看上去这非常合乎逻辑,反键盘记录工具对于预防常规攻击非常有用。
我选择的反键盘记录工具是KeyScrambler。在防范金融类恶意软件和其它键盘记录攻击时,我认为它的用处非常大。我也曾经就KeyScrambler能否防范金融类恶意软件询问过QFX软件的意见。
最后,在文章的结尾,我要告诉大家,金融类恶意软件目前成功进行攻击的目标仅限于IE和火狐。到目前为止,谷歌Chrome没有遇到过针对性攻击,原因是Carberp使用了网络浏览器挂钩。
