黑客越来越狡猾 文档成攻击利用新载体

攻击带有敏感信息的系统,从而实施偷窃或谋利的行为已经不是什么新鲜事儿了。事实上,由于现代网络社会中数据类信息的传输十分简便,而各种系统也进一步被融合在一起,所以这种网络犯罪行为也是意料之中。我们将持续观望的这种新趋势涉及到这类攻击所利用的载体。

政府,企业等都频繁使用文档。文档形式多种多样(PDF, DOC, XLS),许多人都可以对这些文档进行编辑和演示。可是在网络罪犯眼中, 哪里有数据传输,哪里就有机可乘。

当合法的文档文件被替换成包含恶意数据序列的文件时就会发生文档中毒。当阅读软件打开文档文件时,系统会弹出一些你始料不及的信息来运行恶意代码。

必须为阅读软件量身打造才能成功执行这样的攻击。例如,如果对Adobe Reader有用的攻击不一定适用于Foxit 阅读器,反之亦然。同理,对某一特定版本阅读器有效地攻击不一定对其后的阅读器版本有效,因为攻击所利用的漏洞可能在随后的版本中得到了修补。

文档中毒攻击已经出现一段时间了。现在来看,这种攻击的主要不同点在于攻击者可利用的攻击技巧与日俱增。由于程序员设置了大量的阻碍,现在要想成功实施攻击比十年前还是难了很多。例如,微软Windows 7的数据执行保护和地址空间布局随机化等技术就可以阻止传统型攻击。软件漏洞的修补也会暴露出新的安全问题。

这里有两点需要提一下:

第一, 补丁管理并不没有按需进行。应该及时安装能修复安全漏洞的软件补丁,因为这样可以防范于未然,不给黑客可乘之机。再者,从以往的案例来看,大多数攻击之所以能得逞,也正是因为用户没有及时安装补丁——Conficker就是力证。

第二, 即便现在的黑客的攻击难度增大,但是可供黑客下手的资源也比原来多了很多。这意味着,虽然黑客实施攻击要面对的挑战更复杂,但是他们在网络这块所耗费的精力却减少了,因为他们可以利用一个由人,工具和电脑组成的网络帮助自己创建和实施攻击。

典型的中毒文档攻击以两种方式出现:地毯式和目标式。地毯式攻击没有指定的攻击对象,这类攻击旨在感染一切可能被感染的用户。而这种攻击一般是通过传播大量带有有毒文档的垃圾邮件来实施。目标式攻击是一种更为有效地攻击方式,这种方式有一个或多个指定的攻击对象。这些攻击通常是通过一些看似安全可靠,接收对象对信件详情熟悉的邮件实施的。结果,用户就有可能因此打开文档,从而执行恶意代码。

一旦有毒文档被打开,阅读软件就会开始执行恶意代码,这些代码会往用户电脑释放大量信息。现在,最常见的负载时僵尸程序和木马程序。在这种情况下,它会先安装一个僵尸代理。然后,它会向攻击者报告并下载恶意软件——通常是下载一个远程管理工工具。远程管理工具实际是一种合法工具,管理员可以靠它对被感染的电脑进行远程访问。遗憾的是,现在许多这类工具都没有发挥其有利的一面。这类远程管理工具可以让攻击者下载文件,截取屏幕,启用网络摄像头和音频资源等。名为GhostNet的进程就曾用这种方式攻击过政府电脑。

往后,我们肯定会看到更多案例使用文档进行目标式攻击,因为基于文档的漏洞通常都没有被覆盖。我们将在社交网络上看到更多此类攻击,因为这些社交网络非常适合进行目标式文档攻击。为防范这些攻击,我们建议使用适当的补丁和识别管理服务。