全球最隐秘的十種惡意攻擊

說(shuō)到惡意軟件(jiàn)，我們簡直生(shēng)活在一個可(kě)怕的時代。每天都(dōu)在聽說(shuō)黑(hēi)客又突破了滿載客戶隐私數據的網絡。公衆對此甚至都(dōu)麻木了，面對數百萬記錄被盜，或者公司私密郵件(jiàn)洩露這種事(shì)，早已是屢見(jiàn)不鮮。

 

 

　　作(zuò)爲安全從(cóng)業人(rén)員(yuán)，我們無法全天24小時生(shēng)活在對看(kàn)不見(jiàn)敵人(rén)的恐懼中防賊。我們可(kě)以做的，就(jiù)是加固我們的堡壘。早期檢測可(kě)防患于未然，将惡意軟件(jiàn)攻擊阻擋在造成實質損失之前。大(dà)多數攻擊，始于2種易于防護的方法之一：社會工(gōng)程，或是未打補丁的軟件(jiàn)。

 

　　但(dàn)因爲黑(hēi)客努力變得(de)越來(lái)越隐秘，惡意軟件(jiàn)檢測難度也呈指數級增長。比如(rú)下面列出的這10種全球最隐秘的惡意軟件(jiàn)程序。

 

1. PowerShell惡意軟件(jiàn)

 

 

　　微軟本意是想讓其PowerShell腳本語言，成爲一款靈活的Windows和活動目錄遠(yuǎn)程管理(lǐ)工(gōng)具。它在自(zì)動化常規任務和遠(yuǎn)程控制大(dà)量計(jì)算機(jī)上表現出色。黑(hēi)客也超愛這個工(gōng)具，因爲惡意使用的時候很難被檢測到。

 

　　PowerShell黑(hēi)客攻擊方法，很快(kuài)就(jiù)從(cóng)研究人(rén)員(yuán)的概念驗證程序，發展到了網絡罪犯的首選工(gōng)具之一。最近，不涉及PowerShell的企業攻擊，甚至都(dōu)已經很少見(jiàn)了。通常，大(dà)多數編碼都(dōu)會很小心地做混淆，防止被檢測。

 

市面上有2款流行PowerShell工(gōng)具包：

　　PowerSploit

　　https://github.com/PowerShellMafia/PowerSploit

 

　　PowerShell Empire

　　https://www.powershellempire.com

 

 

　　這兩款軟件(jiàn)号稱是合法滲透測試工(gōng)具，但(dàn)其實也是黑(hēi)客工(gōng)具之選。防禦方法也不是沒有，比如(rú)至允許合法簽名的腳本，但(dàn)企業往往直到遭攻擊之後才意識到預防措施的存在。

 

2. 新設備或軟件(jiàn)中的惡意軟件(jiàn)

 

 

　　沒人(rén)希望新手機(jī)/計(jì)算機(jī)/軟件(jiàn)被感染，但(dàn)有時候新設備/軟件(jiàn)就(jiù)是會被感染。而且主流公司并不自(zì)帶免疫。全球最流行産品往往也是惡意軟件(jiàn)集散地，比如(rú)蘋果和微軟的系列産品。快(kuài)閃存儲卡、USB密鑰、網絡設備和智能手機(jī)都(dōu)是惡意軟件(jiàn)跻身(shēn)的地方。甚至數字相(xiàng)框也不能幸免。微軟曾發現，在中國(guó)發售的全新PC中有20%都(dōu)含有惡意軟件(jiàn)。

 

 

　　爲什麽會這樣?有時候是沒意識到自(zì)己被感染的制造商意外引入了惡意軟件(jiàn)。有時候是流氓雇員(yuán)故意感染産品。有時候是承包商在将設備交回廠(chǎng)商之前加入了惡意軟件(jiàn)。無論是哪種途徑，最終都(dōu)是客戶開箱拿到個存在漏洞利用的設備。

 

3. 無線路(lù)由器中的惡意軟件(jiàn)

 

 

　　無線路(lù)由器是黑(hēi)客樂此不疲的攻擊前線。這些設備，基本上就(jiù)是微型計(jì)算機(jī)，還(hái)是可(kě)以用定制代碼遠(yuǎn)程更新的那種。而且，很多無線路(lù)由器運行的是很容易被利用的代碼，或者幹脆沒改默認口令。黑(hēi)客長久以來(lái)都(dōu)在利用路(lù)由器上的弱安全設置。随着自(zì)動搜索互聯網找尋受害者的工(gōng)具的出現，路(lù)由器利用變得(de)更加容易了。

 

　　黑(hēi)客攻擊路(lù)由器，是爲了盜取無線網絡上流轉的金融信息，或者挪用路(lù)由器的處理(lǐ)能力。

 

 

　　将路(lù)由器處理(lǐ)能力挪作(zuò)他(tā)用的攻擊方式，可(kě)令任意脆弱聯網設備成爲聽命攻擊者的奴隸。最流行的IoT惡意軟件(jiàn)程序Mirai，就(jiù)被黑(hēi)客用來(lái)奴役大(dà)量家庭聯網設備發起大(dà)規模DDoS攻擊。

 

4. 計(jì)劃任務惡意軟件(jiàn)

 

 

　　Windows PC 上運行的大(dà)多數微軟計(jì)劃任務，對普羅大(dà)衆而言都(dōu)是一個搞不清楚的謎團。随時可(kě)能有幾十個合法任務在執行，錯删一個都(dōu)有可(kě)能造成巨大(dà)的問(wèn)題。但(dàn)區分(fēn)哪些任務必須，哪些沒必要，哪些又是徹頭徹尾的惡意程序，是非常困難且耗時耗力的。

 

　　惡意軟件(jiàn)制造者就(jiù)利用的是這份混亂與困惑。

 

 

　　安裝成計(jì)劃任務的惡意軟件(jiàn)，往往能獲得(de)高級憑證，這很不好。而更糟的是，該計(jì)劃任務還(hái)會在反惡意軟件(jiàn)掃描器清除掉之後重新下載惡意軟件(jiàn)。事(shì)實上，計(jì)劃任務感染的最典型症狀，就(jiù)是有無論怎麽清除都(dōu)會長期駐留的流氓程序。如(rú)果有超級難删除的惡意軟件(jiàn)程序，不妨檢查一下計(jì)劃任務列表。

 

5. 信任數字證書(shū)的危害

 

 

　　黑(hēi)客喜歡利用我們賦予數字證書(shū)的額外信任。不幸的是，大(dà)多數用戶對數字證書(shū)理(lǐ)解不夠，無法識别出被惡意破壞的那些。操作(zuò)系統和浏覽器正在将信任決策權逐漸從(cóng)用戶手中拿走。

 

　　這有所幫助，但(dàn)是，作(zuò)爲回應，黑(hēi)客開始盜取合法的全局信任代碼簽名證書(shū)，并用這些證書(shū)簽署自(zì)己的惡意軟件(jiàn)。如(rú)此一來(lái)，用戶就(jiù)會得(de)到僞裝成合法程序或更新的木馬，并毫不知情地安裝到系統中。

 

 

　　有時候，黑(hēi)客甚至不是直接偷取，而是複制公司的證書(shū)，就(jiù)像流行Flame惡意軟件(jiàn)程序做的那樣。專家擔心，随着最近針對SHA-1加密散列簽名攻擊的成功，這些數字簽名攻擊會有所上升。這也正是專家建議(yì)人(rén)們盡快(kuài)升級到SHA-2的最主要原因。

 

6. 網絡蠕蟲

 

 

　　2003年(nián)，SQL Slammer 蠕蟲在10分(fēn)鍾之内，感染了10萬個未打補丁的SQL實例，保持至今仍未被打破的網絡蠕蟲快(kuài)速感染記錄。蠕蟲曾經絕迹了幾年(nián)，但(dàn)如(rú)今又卷土(tǔ)重來(lái)。最近的WannaCry和Petya勒索軟件(jiàn)，就(jiù)是此類蠕蟲的明顯例子。

 

　　蠕蟲狩獵未打補丁的軟件(jiàn)或用戶配置錯誤，比如(rú)弱口令，用以攻入下一個受害者的計(jì)算機(jī)。無論WannaCry還(hái)是Petya，都(dōu)利用了數百萬毫無疑心的PC，讓無數以爲自(zì)己受到保護的用戶目瞪口呆。

 

 

　　網絡蠕蟲一直是最可(kě)怕的惡意軟件(jiàn)程序，因爲就(jiù)像 SQL Slammer 所呈現的，它們快(kuài)速傳播，造成破壞，然後逃離(lí)。在人(rén)們意識到發生(shēng)了什麽事(shì)情之前，傷害已經造成。

 

7. 社交媒體(tǐ)App

 

 

　　當今時代，最隐秘的攻擊來(lái)自(zì)于你(nǐ)的朋友。流程大(dà)體(tǐ)如(rú)此：你(nǐ)收到朋友突然發來(lái)的新潮軟件(jiàn)安裝推薦，或者邀請(qǐng)你(nǐ)看(kàn)一段惡搞視頻，但(dàn)其實發來(lái)的都(dōu)是僞裝過的惡意程序。一旦運行了該流氓代碼，黑(hēi)客就(jiù)收割了你(nǐ)的社交媒體(tǐ)賬戶，開始利用你(nǐ)所有的朋友聯系。

 

 

　　這最初的請(qǐng)求其實不是來(lái)自(zì)于你(nǐ)的朋友，而是來(lái)自(zì)獲取了他(tā)賬戶的那個黑(hēi)客。黑(hēi)客會用盜取的賬戶來(lái)收獲更多人(rén)的賬戶，偷走金錢，甚或入侵公司網絡。黑(hēi)客高度認知到：很多社交媒體(tǐ)用戶用同樣的登錄名和口令登錄他(tā)們的公司網絡，隻需破解一個，便可(kě)進入其他(tā)。

 

8. 無線中間人(rén)

 

 

　　在溫馨安靜(jìng)的當地咖啡館落座，開始收發晨間郵件(jiàn)。你(nǐ)不會懷疑，也不會知道，就(jiù)在同一家店(diàn)裡(lǐ)，一名黑(hēi)客已經攫取了你(nǐ)本應受到保護的Web憑證。

 

　　Firesheep(http://codebutler.com/firesheep)就(jiù)是做這事(shì)的最佳工(gōng)具。黑(hēi)客和想讓高管層認真考慮無線及Web安全的滲透測試員(yuán)，都(dōu)喜歡用這款工(gōng)具。盡管Firesheep已經被其開發者下架了，還(hái)有大(dà)量其他(tā)工(gōng)具能做同樣的事(shì)——幾乎完全免費，隻需等待下載完畢即可(kě)使用。

 

 

　　正确配置無線連接，可(kě)以消除該威脅，但(dàn)要找出所有無線連接都(dōu)被完美防護的計(jì)算機(jī)還(hái)真挺難的。

 

9. 内聯鍵盤記錄器

 

 

　　鍵盤記錄器是微型硬件(jiàn)設備，一旦在計(jì)算機(jī)的鍵盤和鍵盤輸入連接器之間安裝上，就(jiù)會獲取從(cóng)該鍵盤輸入的任何東西。該方法對智能手機(jī)或筆記本電腦無效，但(dàn)黑(hēi)客成功在酒店(diàn)、金融機(jī)構和其他(tā)公共場所中找到了大(dà)量傳統PC可(kě)供利用。

 

 

　　攻擊者可(kě)以像普通用戶一樣坐(zuò)在電腦前把記錄器安裝上。記錄器很容易隐藏，因爲安上記錄器的鍵盤線，通常都(dōu)放(fàng)在電腦背後或機(jī)櫃下面。裝好後攻擊者就(jiù)可(kě)以離(lí)開，等數天之後再過來(lái)拿走記錄器。然後，回家就(jiù)可(kě)以在裡(lǐ)面挖掘口令和其他(tā)憑證信息了。

 

10. USB黑(hēi)客設備

 

 

　　自(zì)從(cóng)USB形态因素的計(jì)算機(jī)有了足夠的存儲和處理(lǐ)能力，黑(hēi)客就(jiù)對其漏洞利用潛力垂涎三尺了。幾十個黑(hēi)客工(gōng)具和完整的Linux發行版安裝在USB鍵盤上。不到100美元就(jiù)能在線買下一個。隻需插入受害者電腦，放(fàng)任上面的黑(hēi)客腳本大(dà)幹壞事(shì)即可(kě)。

 

　　此類流行工(gōng)具之一，是Hak5的Bash Bunny(https://hakshop.com/products/bash-bunny)。 裡(lǐ)面包含了2種攻擊模式，用戶可(kě)用很方便易學的腳本來(lái)配置。比如(rú)說(shuō)，一種模式可(kě)利用Windows計(jì)算機(jī)，另一種就(jiù)利用Mac機(jī)。你(nǐ)需要做的全部，僅僅是瞅個沒人(rén)看(kàn)着的機(jī)會，走到受害者計(jì)算機(jī)旁，插上該設備，等待幾秒，然後帶上你(nǐ)的戰利品溜掉。或者，你(nǐ)也可(kě)以在計(jì)算機(jī)背面的USB口插上該設備，在受害者網絡中長期留有一個難以發現的流氓黑(hēi)客計(jì)算機(jī)。