返回新闻列表

9月恶意软件报告:设计巧妙的针对性攻击

开创性行为

       感染BIOS系统一直是网络罪犯所期望达到的目的。如果恶意程序能够通过BIOS启动,那么计算机一旦开启,其中的恶意程序就会控制所有的启动步骤或操作系统。1998年,仅能够破坏BIOS的CIH病毒出现。自此以后,恶意软件编写者在这一领域并没有什么重大突破。但是,今年9月份这一情况却发生了改变。最新发现的一款木马能够感染BIOS系统,从而控制计算机系统。新发现的这一rootkit能够感染Award制造的BIOS。经过分析发现,其来源于中国。该木马的代码还未最终完成,其中还包括调试信息。但是,卡巴斯基实验室对其分析后证实,该木马的主要功能运行正常。

针对个人用户的攻击

DigiNotar被黑客攻击

       黑客之所以攻击DigiNotar这家位于荷兰的数字证书发放机构,目的是创建一些假冒的常用资源的SSL证书。包括家庭用户经常使用的社交网络和电子邮件服务。

       被黑事件发生于7月底,但是一直到8月份都没被发现。而攻击者则利用这段时间,操纵DigiNotar系统,创建了多个假冒的数字证书,包括针对Gmail、Facebook和Twitter的数字证书。这些数字证书的使用后来被当作是针对伊朗计算机用户攻击的一部分。假冒的数字证书被安装于供应商层面,使得用户和服务器之间的数据流可以被拦截。DigiNotar被黑事件再一次表明目前现有的数字证书发放系统的保护措施并不严密,数字证书的权威性遭到质疑。

MacOS威胁:隐藏在PDF文件中的新型木马

       很多MacOS用户对于苹果系统的安全性过于自信,而网络罪犯恰恰利用了这一点进行攻击。例如,大部分Windows用户在收到包含.pdf.exe或.doc.exe等附件的电子邮件时,并不会打开这些附件,而是直接删除邮件。但是,这种攻击防范对Mac用户来说却比较有效。很多Mac用户会打开这些伪装成PDF、图片或文档的恶意代码文件。

       这种攻击的原理于9月底被发现,其中所使用的恶意程序为Backdoor.OSX.Imuler.a。该恶意程序能够从控制服务器接收指令,并且会从受感染计算机上下载文件和屏幕截图。这种恶意程序通常会伪装成PDF文件实施攻击。

移动威胁

       2011年9月,卡巴斯基实验室共检测到680种针对不同移动平台的恶意程序新变种。其中,559种都是针对Android系统的。最近几个月,针对Android平台的恶意程序数量呈现明显上升趋势,尤其是后门程序的数量。在检测到的559种Android恶意程序中,有182种(32.5%)均是带有后门功能的恶意程序变种。越来越多的针对移动设备的恶意程序开始加入互联网功能。因为通过联网,能够从远程服务器接收指令。

移动交易授权码(mTAN)盗窃

       使用在线银行时,经常会用到移动交易授权码(mTAN)。而能够拦截包含mTAN短信的手机木马目前在网络罪犯中逐渐流行。从去年开始,ZitMo这一手机木马就能够运行于常见的四大移动平台。而新出现的SpitMo,则紧跟ZitMo的步伐。其工作原理同SpyEye木马非常相似,同ZeuS则有所不同。

通过二维码(QR Code)发动的攻击

       9月底,首个试图利用QR码进行恶意攻击的案例被发现。在智能手机上安装软件时,一些网站会提供简化的安装步骤。用户只需扫描一个QR码,就可以下载选中的应用,而无需输入URL地址进行下载。可以预见,网络罪犯也开始利用这种技术,在用户智能手机上安装恶意程序。卡巴斯基实验室的分析人员检测到多个恶意网站,利用QR码传播一些包含木马的手机应用(例如Jimm和Opera Mini)。其中的木马会向某个付费号码发送短信。

 

针对企业网络的攻击

       针对大型组织的严重攻击数量呈上升趋势,这类攻击的初始阶段经常会利用电子邮件传播恶意程序。仅9月份,就有两起利用这一手段进行攻击的案例。Trend Micro公司的研究人员在调查过程中发现了名为Lurid的网络攻击。他们截获了几台服务器之间的数据,这些服务器控制着超过1500台被感染计算机,受害计算机大部分位于俄罗斯、前苏联地区以及一些东欧国家。通过对俄罗斯的受害用户调查发现,这次攻击是一次针对性攻击。攻击目标包括 航天行业某些组织、某些科研机构、一些商业组织、政府机构和一些媒体机构。攻击者通过电子邮件将恶意文件发送到这些组织中的员工,从而获取到这些组织的数据。

针对三菱公司的攻击

       本月中旬,有新闻报道说日本企业三菱公司遭到攻击。但根据卡巴斯基实验室的研究,针对这一企业的攻击早在7月份就已经开始,并且在8月达到最活跃阶段。

       根据日本媒体报道,这次攻击导致三菱生产潜水艇设备、火箭设备和核工业的工厂中有约80台计算机和服务器被感染。此外,在三菱的总部计算机中,也发现了恶意软件。目前,我们仍然无法确定网络黑客到底窃取到什么信息,但是很可能被感染的计算机中包含具有战略性意义的机密信息。

       “很显然,这次攻击部署和实施非常精密,绝对是有预谋的,”卡巴斯基实验室首席安全专家Alexander Gostev说:“攻击所用的手段并不新颖:今年7月底,一些三菱公司的员工从网络罪犯那里收到一些包含PDF文件的电子邮件。其中的PDF文件包含漏洞利用程序,能够利用Adobe Reader中的漏洞进行感染。一旦文件被打开,其中的恶意组件就会被安装,从而让网络黑客获取到受感染系统的远程完全控制权。通过受感染计算机,黑客进一步侵入公司的企业网络。对服务器进行了破解,并且将收集到的信息发送到黑客服务器。此次攻击中共使用十多种不同的恶意程序,有些还是根据该公司的企业内部网络架构专门开发的。”

 

打击网络犯罪的战争

Hlux/Kelihos 僵尸网络被关闭

       9月,针对僵尸网络的打击取得重大突破,Hlux僵尸网络被成功关闭。卡巴斯基同微软和Kyrus Tech共同合作,接管了Hlux僵尸网络。这是我们第一次控制利用P2P协议创建的僵尸网络。不仅如此,在打击行动中,还同时关闭了整个cz.cc域名。2011年期间,该域名曾为几十个僵尸网络提供命令控制中心服务器托管服务,完全是一个安全隐患的温床。截止到Hlux关闭时,该僵尸网络已经控制了超过40,000台计算机,能够每天发送上千万封垃圾邮件、执行DDoS攻击或下载恶意软件到受感染计算机。

       目前,卡巴斯基实验室已经控制该僵尸网络。公司的专家正在同受感染用户的服务提供商联系,帮助用户清理受感染系统。同时,针对Hlux恶意程序的检测特征已经被添加到微软的恶意软件清除工具中,从而有效减少被感染计算机的数量。更多关于卡巴斯基实验室在2011年9月检测到的互联网和用户计算机威胁详情,请浏览:http://www.securelist.com.