黑客大曝光案例研究：請在季度會議之前進行審核

碼工

根據Symantec和GFI 2009年4月發(fā)表的最新安全研究，定制和針對性的垃圾郵件和惡意軟件攻擊數量再次上升。而且，由于惡意軟件業(yè)界的專業(yè)化，這種代碼定制已經使安全界的防護和檢測率有了明顯的下降。Symantec在2008年中檢測出近166萬種惡意代碼威脅，和2007年相比有明顯的上升。新的惡意代碼特征碼同期增長了265%。隨著惡意軟件制作者持續(xù)地開發(fā)代碼并且確保這些代碼在新的環(huán)境中工作正常，他們將會不斷地調整這些惡意軟件以得到最佳的投資回報（ROI）。特洛伊木馬占了前50種惡意代碼的將近70%，這是因為它們對于日后保持對受害機器的遠程訪問非常有效。通過創(chuàng)建新的獨特惡意代碼，結合從網絡仿冒得到的定制電子郵件技術和對防病毒軟件進行欺騙的新方法，使前述的方案成為可能。

周二下午3點20分，一家中型制造企業(yè)的管理層的十位主管收到一封偽造得很逼真的電子郵件，這封郵件似乎來自公司的CEO。這封郵件的標題為“請在我們的 會議之前進行審核”，并且要求收信人保存郵件附件并且將文件擴展名從.zip改為.exe，然后運行該程序。這個程序是用于周五的季度會議的插件，對于查看會議中播放的視頻來說是必需的。CEO在郵件中提到，因為郵件服務器的安全要求不允許他發(fā)送可執(zhí)行文件，所以主管們必須更改該附件名。

主管們按照得到的指令運行該程序。那些存有疑問的人看到他們的同事都收到相同的郵件，于是覺得這封郵件肯定是合法的。而且，因為這封郵件在這天較晚的時候發(fā)送，有些人直到下午5點之前才收到，他們沒有時間去證實CEO是否發(fā)送了這封郵件。

郵件的附件確實是一個在每臺機器上安裝擊鍵記錄程序的惡意軟件。誰會創(chuàng)建這個程序？他們的動機是什么？讓我們來認識這位攻擊者。

我們遇到的攻擊者Bob Fraudster是本地一家小公司的編程人員。他主要使用基于Web的技術（如ASP.NET）進行編程，并制作動態(tài)網頁和 Web應用程序來支持該公司的市場活動。因為經濟衰退，Bob剛剛削減了工資，所以他決定獲取一些額外的收入。Bob訪問Google.com搜索bot 程序和僵尸網絡（botnet），因為他聽說這些工具能給運作者帶來許多金錢，他認為這可能是賺取額外收入的一個好的途徑。在這一個月中，他加入了IRC，聽取其他人的意見，并且了解到在許多在線論壇上可以訂購到bot軟件，這些程序能夠實現單擊欺詐（click fraud）并且為他帶來一些收入。通過研究，Bob知道大部分防病毒軟件能夠發(fā)現預編譯的bot程序，因此他決定獲取一份源代碼來編譯自己的bot。Bob專門訂購了一個通過HTTP 上的SSL與他租賃的主機通信的bot程序，從而減少了bot出站通信被安全軟件攔截的幾率。因為Bot使用HTTP上的SSL，bot的所有通信流量將 被加密并且能夠通過大部分內容過濾技術。Bob在各種搜索引擎上注冊了廣告經營者（Ad Syndicator），作為廣告經營者，他將在自己的網站上顯 示來自搜索引擎的廣告輪換程序（如AdSense）的廣告，對于他在網站上的每次廣告單擊，他可以得到一點小小的收入（幾分錢）。

Bob使用一些與bot一同訂購的利用程序（exploits），加上一些訂購的應用程序級漏洞來入侵全世界的Web服務器。使用標準的Web開發(fā)工具， 他修改了網站上的HTML或者PHP頁面，載入他的廣告經營用戶名和密碼，這樣他的廣告就代替了網站自己的廣告。實際上，Bob強迫他所破解的網站加入廣告經營，這樣當用戶單擊這些廣告時，就將把錢送給他，而不是實際的網站經營者。這種通過用戶單擊網站廣告賺錢的方法被稱為按單擊付費廣告（pay-per-click，PPC），是Google所有收入的來源。

接下來，Bob使用armadillo packer軟件打包惡意軟件，使它看上去像來自于公司CEO的一個新PowerPoint幻燈片文件。他編寫一封具體的定制電子郵件，讓主管們相信附件是合法的并且來自于CEO。

現在主管們必須打開這個文件。Bob大約每過30分鐘就向他購買的多個小公司的電子郵件地址發(fā)送這個幻燈片的拷貝，這個拷貝實際上安裝了他所制作的bot 程序。因為Bob曾經做過市場工作，并且實施過一些電子郵件活動，所以知道能夠從互聯網上的一個公司那里很容易地購買電子郵件地址列表�；ヂ摼W上可供購買 的電子郵件地址多得令人驚訝，Bob將精力集中于較小的公司而不是集團公司的郵件地址，因為他知道許多企業(yè)在電子郵件網關上使用防病毒軟件，他不想讓防病 毒軟件供應商注意到他的bot。

Bob很聰明，知道許多通過IRC通信的bot程序更容易被發(fā)現，所以他購買了一個通過HTTP上的SSL與私人租賃主機通信的bot。使用定制的GET 請求，這個bot程序通過向他的Web服務器發(fā)送命令和帶有具體數據的控制消息來進行交互。由于Bob的bot程序通過HTTP進行通信，所以不用擔心所 感染的機器上運行的防火墻阻擋bot訪問他所租賃的Web服務器，因為大部分防火墻都允許端口443上的出站通信。而且，他也不用擔心Web內容過濾，因 為傳輸的數據看上去是無害的。另外，當他打算竊取查看受害者公司集團的PowerPoint幻燈片的財務數據時，只需要將數據加密，這樣Web過濾程序就 無法看到這些數據。他沒有使用大量繁殖的蠕蟲來發(fā)布他的bot，因此受害者的防病毒軟件沒有發(fā)現這個bot的安裝，因為防病毒軟件沒有這個bot的特征 碼。

這個bot程序一旦安裝，就作為一個瀏覽器助手對象（Browser Helper Object，BHO）代替Internet Explorer，這 使bot程序能訪問該公司的所有常規(guī)HTTP通信和Internet Explorer的所有功能，例如HTML解析、窗口標題以及訪問網頁的密碼字段。這是Bob的bot程序嗅探發(fā)送到公司的信用卡聯盟和各種網上銀行數據的方法。這個bot開始連接Bob的bot主服務器，并且從服務器上讀取已入侵網站的列表，連接到這些網站開始單擊廣告。

bot程序接收到訪問連接列表之后，就會保存這個列表并且等待受害者正常使用Internet Explorer。當受害者瀏覽CNN.com了解最新的 銀行援助行動時，bot程序訪問列表中的網站尋找可單擊的廣告。這個bot了解廣告網絡的工作方式，所以它使用受害者實際查看的網站（例如 CNN.com）的引用，使廣告的單擊看上去像是合法的。這種方法騙過了廣告公司的防欺詐軟件。bot單擊廣告并且查看了廣告的登錄頁面之后，就轉向列表 中的下一個鏈接。這個bot使用的這種方法使廣告公司的服務器中的日志看上去像是一個普通人查看了廣告，這降低了Bob的廣告賬戶被標記為欺詐者以及他自 己被抓住的可能性。

為了隱藏自己并且盡可能得到更多的收入，Bob讓bot程序以較慢的方式在幾周內持續(xù)單擊廣告。這能確保受害者不會注意到計算機上額外裝入的程序，Bob的bot程序也就不會被發(fā)現是個欺詐程序。

Bob成功地使公司的工作站成為自己的提款機，將現金吐到大街上，而他拎著包去撿這些錢。

Bob采用的其他隱身技術確保他的bot服務器用于查找實際數據的搜索引擎不會發(fā)現他的欺詐。為了避開檢測，bot使用了各種搜索引擎（如Google、Yahoo、AskJeeves等）來實現欺詐。在欺詐方案中使用越多搜索引擎，Bob就能賺越多的錢。

Bob需要使用搜索引擎，因為這是欺詐的渠道。所單擊的廣告是前幾個星期Bob侵入的網站上所放置的。在侵入的網站上所單擊的廣告只有10%來自 Google，其余的來自其他來源，包括其他的搜索引擎。bot程序采用一種隨機單擊算法，這種算法只在半數時間中單擊廣告鏈接，使得搜索引擎公司更難發(fā)現。

使用慢速的方法并不意味著Bob需要花費很長的時間賺錢。例如，僅僅使用Google，我們假設Bob的秘密傳播（例如，慢慢地傳播）惡意軟件感染 10 000臺機器；每臺機器最多單擊20個廣告，而只在50%的時間內單擊Google廣告，一共單擊100 000次。讓我們假設Bob顯示的廣告每 個單擊產生0.5美元收入。使用這種方法，攻擊者得到50 000美元收入（10 000 × 20 × 50% × $.50）。對于兩周的時間來說，這項工作的價值很不錯。

現在我們理解了Bob的動機和計劃攻擊的方法，讓我們回到這個虛構的公司，分析他們如何處理惡意軟件的爆發(fā)。因為Bob希望保持隱蔽，所以這個惡意軟件一 經運行，就通過HTTP上的SSL向中心服務器報告，并且請求和發(fā)送該公司員工輸入到網站的所有用戶名和密碼的副本。因為Bob使用一個BHO構建 bot，不管網站的密碼是否加密都能捕獲。包括員工的信用卡聯盟和網上電子商務供應商（如eBay和Amazon.com）都記錄下來，并且發(fā)送給Bob 租賃的服務器。由于到租賃服務器的通信都通過HTTP上的SSL進行，這個網站不會被公司的代理服務器標記為惡意網站，也不會受到阻塞。

周三上午8點，惡意軟件通過將自身發(fā)送給接收到相同的CEO信息的主管的企業(yè)地址簿上的所有用戶而傳播。通過利用未打補丁的機器以及IT部門尚未來得及更新的運行舊版本Microsoft Windows的機器上的網絡漏洞，這個惡意軟件開始感染其他機器。為什么CIO不批準網絡安全團隊去年提出購買和實施的補丁管理的計劃呢？

周三下午4點，現在已經有幾百名員工的電腦受到感染，但是IT部門也聽到了需要安裝電 子郵件上的應用程序的消息，于是開始調查。IT部門發(fā)現這一文件可能是惡意軟件，但是企業(yè)防病毒軟件和電子郵件防病毒軟件不能檢測，所以還不能確定這個可 執(zhí)行文件是什么。IT部門對于這個執(zhí)行程序是否惡意、程序的意圖或者惡意軟件的操作情況沒有任何信息，他們相信安全軟件供應商，將樣本發(fā)送給防病毒軟件供 應商進行分析。

周四上午10點，IT部門急急忙忙地開始試圖使用防病毒供應商前一晚上發(fā)送的特殊特征碼刪除這個病毒。這是個貓捉老鼠的游戲，IT部門很少能夠在病毒蔓延之前采取行動。IT部門在前一個晚上關閉公司的所有工作站，包括那些架設在倫敦的、該制造公司必需的訂單處理機，這使客戶很不高興。

周四晚上8點，IT部門仍然在試圖為工作站殺毒。一位IT工作人員開始自己進行分析，并且發(fā)現這段二進制代碼可能是一位過去的員工編寫的，因為二進制代碼中的一些字符串引用了前任CIO和IT部門負責人之間的一次爭吵。IT部門聯絡FBI確定這是不是一次犯罪行動。

周五上午9點，季度會議按照計劃應該開始，但是因為CEO用來作報告的機器也受到感染，在IT部門推出新的防病毒軟件更新時該機器關閉著，導致病毒尚未被清除，所以會議只能推遲。CEO要求和CIO進行一次緊急會議以確定發(fā)生了什么事情。IT部門繼續(xù)進行網絡殺毒并且穩(wěn)步推進工作。

周六上午11點，IT部門認為已經從網絡上完全刪除了這個惡意軟件。員工們在周一將能夠正常工作，但是IT部門仍然有很多工作需要做，病毒感染造成了嚴重的破壞，致使30臺工作站必須重建，因為惡意軟件還沒有完全地從每臺工作站上刪除。

下周一下午3點，CIO與CEO會談，給出了清除這一問題所要花費的成本估算。他們都無法弄清，實際損失的銷售額或者受到影響無法正常工作的1500個工人的產出。而且，CIO告訴CEO，由于惡意軟件在他們登錄網上銀行賬戶時記錄擊鍵，所以他們的身份被竊取了。這些受害的員工希望知道公司所能對他們提供的幫助。

上面這樣的情況并不少見。每個案例的技術細節(jié)可能不一樣，但是周一CIO和CEO的會談內容很相似。這個制造機構中沒有人預見到這種情況，但是商業(yè)雜志和每份安全報告都提到過這是難以避免的。這個案例中的主要問題是這個公司沒有準備。和戰(zhàn)爭中一樣，知識是成功的一半，而大部分的組織都不了解惡意軟件，不了 解這些軟件是如何編寫的，又是為什么編寫的，這些組織都沒有合適的策略和程序來處理bot的全面爆發(fā)。因此，在2008年，Symantec的互聯網威脅報告稱，一個組織因為惡意軟件而產生的第二大成本是從網絡刪除bot程序所花費的成本。在我們的案例研究中，IT用于恢復業(yè)務運行所花費的總時間很長，而且還不包括所有因為惡意軟件捕捉個人身份信息所引起的可能的通知、違規(guī)或者法律成本。