北京2017年6月28日電 /美通社/ -- 邁克菲公司今日發(fā)布《邁克菲實(shí)驗(yàn)室威脅報(bào)告:2017年6月刊》,探討了Fareit密碼竊取軟件的起源和內(nèi)部工作機(jī)制,回顧了過去 30 年惡意軟件逃逸技術(shù)的演化,闡述了逃逸技術(shù)采用的隱寫術(shù)特性,評述了各個(gè)行業(yè)公開披露的威脅攻擊事件,并總結(jié)了在 2017 年一季度惡意軟件、勒索軟件、移動惡意軟件和其它威脅的增長趨勢。
“現(xiàn)在市場上的反安全、反沙箱和反分析的逃逸技術(shù)即便沒有上千項(xiàng)也有數(shù)百項(xiàng),而且許多都可以在暗網(wǎng)市場上直接購買到。”邁克菲實(shí)驗(yàn)室副總裁 Vincent Weafer 說道,“這期發(fā)布的報(bào)告提醒我們,欺騙已經(jīng)從針對某幾個(gè)系統(tǒng)的單個(gè)威脅,逐漸演變到針對多個(gè)系統(tǒng)的復(fù)雜威脅,以及到針對整個(gè)新安全模式,如機(jī)器學(xué)習(xí)。”
30 年惡意軟件逃逸技術(shù)回顧
在 20 世紀(jì) 80 年代,惡意軟件開發(fā)者開始嘗試一些方法來逃避安全產(chǎn)品的檢測,當(dāng)時(shí),有一個(gè)惡意軟件通過加密自己的部分代碼使安全分析員無法閱讀內(nèi)容,而成功繞過了防御體系?!疤右菁夹g(shù)”指的是惡意軟件所能用到的所有能規(guī)避檢測、分析和檢查的方法。邁克菲實(shí)驗(yàn)室將逃逸技術(shù)分為以下三大類:
《邁克菲實(shí)驗(yàn)室威脅報(bào)告:2017 年 6 月刊》探討了一些較強(qiáng)大的逃逸技術(shù),以及可提供現(xiàn)成逃逸工具的暗網(wǎng)市場,舉例說明了幾個(gè)惡意軟件系列是如何利用逃逸技術(shù)來規(guī)避檢測,以及對未來的預(yù)期,包括機(jī)器學(xué)習(xí)規(guī)避技術(shù)和基于硬件的規(guī)避技術(shù)。
在眾目睽睽下隱藏:隱寫術(shù)的隱藏威脅
隱寫術(shù)是一項(xiàng)隱藏秘密信息的科學(xué)藝術(shù),在數(shù)字世界中,它用來將信息隱藏在圖像、音頻、視頻或文本文件中。數(shù)字隱寫術(shù)通常被惡意軟件作者用來逃避來自安全系統(tǒng)的檢測。我們所知的首例將隱寫術(shù)應(yīng)用于網(wǎng)絡(luò)攻擊中的惡意軟件是 2011 年的 Duqu 惡意軟件。將隱寫術(shù)應(yīng)用于數(shù)字圖像時(shí),通過嵌入算法插入秘密信息,將圖像傳輸?shù)侥繕?biāo)系統(tǒng),并提取秘密信息以供惡意軟件使用。修改后的圖像通常很難被人眼或安全技術(shù)檢測到。
邁克菲實(shí)驗(yàn)室將網(wǎng)絡(luò)隱寫術(shù)視為該學(xué)科的最新形式,因?yàn)樗鼘?/span> TCP/IP 協(xié)議頭中的未使用字段用于隱藏?cái)?shù)據(jù)。由于攻擊者可以使用這種技術(shù)通過網(wǎng)絡(luò)發(fā)送無限量的信息,這種方法正在被越來越多的攻擊者使用。
Fareit:最臭名卓著的密碼竊取工具
Fareit 首次出現(xiàn)于 2011 年,并以多種方式演變,包括新攻擊向量、增強(qiáng)的架構(gòu)和內(nèi)部工作機(jī)制,以及規(guī)避檢測的新方法。Fareit 是最臭名卓著的密碼竊取惡意軟件,這已經(jīng)得到越來越多人們的共識,而且種種跡象表明,它可能被用于 2016 年美國總統(tǒng)大選之前的那起著名的針對民主黨全國委員會 (DNC) 的數(shù)據(jù)泄漏事件中。
Fareit 可通過網(wǎng)絡(luò)釣魚郵件、DNS 投毒和漏洞利用工具包進(jìn)行傳播。受害者可能會收到一封帶有附件的惡意釣魚電子郵件,該附件可能是 Word 文檔、JavaScript 或存檔文件。一旦用戶打開附件,Fareit 就能夠感染系統(tǒng),將盜取的用戶憑據(jù)發(fā)送給它的控制服務(wù)器,然后下載此次攻擊活動中附帶的其它惡意軟件。
2016 年的美國民主黨全國委員會數(shù)據(jù)泄漏事件的罪魁禍?zhǔn)资敲麨?/span> Grizzly Steppe 的惡意軟件攻擊活動。邁克菲實(shí)驗(yàn)室在美國政府公布的 Grizzly Steppe 報(bào)告中的攻陷指標(biāo) (IoC) 列表中發(fā)現(xiàn)了 Fareit 哈希。普遍認(rèn)為這一類別的 Fareit 專門應(yīng)用于針對 DNC 的攻擊中,通過網(wǎng)絡(luò)釣魚郵件附帶的惡意 Word 文檔附件進(jìn)行傳播。
該惡意軟件引用了一些已發(fā)現(xiàn)的 Fareit 樣本中多個(gè)不常見的控制服務(wù)器地址。在 DNC 攻擊事件中,它可能聯(lián)合其它技術(shù)來竊取電子郵件、FTP和其它重要的憑據(jù)。邁克菲實(shí)驗(yàn)室懷疑,Fareit 還將其它諸如 Onion Duke 和 Vawtrak 的高級威脅下載到受害者的系統(tǒng)中,以發(fā)動進(jìn)一步的攻擊。
“隨著人們、企業(yè)和政府部門越來越多地依賴僅有密碼保護(hù)的系統(tǒng)和設(shè)備,他們的憑據(jù)安全性非常低,很容易被竊取,對網(wǎng)絡(luò)犯罪分子來講非常有吸引力。”Weafer 指出,“邁克菲實(shí)驗(yàn)室相信使用密碼竊取技術(shù)的攻擊很可能會有所增加,Grizzly Steppe 攻擊活動中已可窺見一些新型未來技術(shù)。”
2017 年一季度威脅活動
2017 年一季度,邁克菲全球威脅智能感知系統(tǒng) (GTI) 登記的針對各個(gè)行業(yè)的網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊事件呈現(xiàn)顯著的增長趨勢:
若要了解有關(guān) 2017 年一季度威脅趨勢和威脅格局的更多信息,請?jiān)L問 www.mcafee.com/cn 閱讀完整報(bào)告。
若要了解本報(bào)告中企業(yè)如何更好地保護(hù)自己遠(yuǎn)離威脅的詳細(xì)信息,請?jiān)L問我們的安全博客。