【51CTO.com 綜合消息】盡管惡意軟件通過(guò)公共資源進(jìn)行更新已經(jīng)不再是什么新鮮事，但RSA FraudAction研究實(shí)驗(yàn)室最近發(fā)明這種托管方法被用于把持一種銀行木馬，即“巴西銀內(nèi)行”木馬家族的一個(gè)變種。

實(shí)際上，容許用戶(hù)上傳所有類(lèi)型的內(nèi)容，并隨后在有序表單中，沒(méi)有換行符，如HTML標(biāo)簽所表現(xiàn)的單行換行符予以發(fā)布的網(wǎng)站，都能被用來(lái)存儲(chǔ)木馬的加密配置。這包含幾乎所有的可以不受限制的發(fā)表評(píng)論，創(chuàng)立公開(kāi)人物介紹和設(shè)置消息組的社交網(wǎng)絡(luò)及web 2.0平臺(tái)。

向銀行木馬發(fā)送命令和把持

“巴西銀內(nèi)行”是一種將巴西的銀行和其他拉丁美洲銀行的客戶(hù)作為攻擊目標(biāo)的金融木馬。 有關(guān)“巴西銀內(nèi)行”變種加密指令（見(jiàn)圖1）的社交網(wǎng)絡(luò)人物介紹，在我們發(fā)明該木馬配置點(diǎn)之后不久，這些違法內(nèi)容就被該社交網(wǎng)絡(luò)的支撐團(tuán)隊(duì)所處理和刪除。需要著重指出的是，這家社交網(wǎng)站無(wú)法防備被上述這樣的方法所利用。任何可以發(fā)表用戶(hù)自行輸入內(nèi)容的網(wǎng)站都容易受到這種濫用的攻擊，而它賦予用戶(hù)的自由則恰恰可以被利用。

圖1 用作木馬加密配置的社交網(wǎng)絡(luò)人物介紹:

其工作原理如下：

◆暗藏在惡意軟件背后的黑客為 “Ana Maria”的用戶(hù)創(chuàng)立了一條假的人物介紹，并以文本的方法輸入惡意軟件的加密配置設(shè)置，隨后上傳至該人物介紹中。

◆惡意軟件在用戶(hù)機(jī)器上自行安裝后，就會(huì)在人物介紹中搜索字符串EIOWJE（上張屏幕截圖中用下劃線(xiàn)標(biāo)示）。這個(gè)字符串意味著惡意軟件配置指令的起始點(diǎn)。

◆EIOWJE字符串之后的所有加密命令被惡意軟件解密并在被沾染盤(pán)算機(jī)上履行。

上述方法可以讓黑客無(wú)需租用專(zhuān)用的防彈服務(wù)器或?yàn)閻阂廛浖耐ㄐ劈c(diǎn)注冊(cè)域，就能夠發(fā)送加密的命令。據(jù)報(bào)道，另一個(gè)被利用為木馬運(yùn)行命令和把持點(diǎn)的公共資源是Twitter的RSS產(chǎn)品。在這個(gè)示例中僵尸牧人的把持方法如下所示：

◆訛詐者創(chuàng)立一個(gè)假的Twitter賬戶(hù)。

◆通過(guò)登錄指定的電子郵件賬戶(hù)，木馬定期在通過(guò)Twitter RSS發(fā)送的狀態(tài)更新中檢查新的指令。每個(gè)新的命令都顯示為狀態(tài)更新，并且包含有木馬需要履行的新命令。

有個(gè)犯法分子甚至更進(jìn)一步，創(chuàng)立了一個(gè)基于Twitter的僵尸網(wǎng)絡(luò)建立程序。另一個(gè)案例利用了Google Groups：在受害者盤(pán)算機(jī)上完成自行安裝后，木馬就登錄到Google Gmail賬戶(hù)，并從該犯法分子預(yù)先為木馬操作而創(chuàng)立的特定假消息組懇求頁(yè)面。木馬隨后履行消息組最新頁(yè)面中指定的命令，并將其回復(fù)作為帖子上傳至同一個(gè)消息組中。

互聯(lián)網(wǎng)安全公司之前已經(jīng)報(bào)告過(guò)，包含有大批人物介紹的Web 2.0平臺(tái)，諸如社交網(wǎng)站和webmail供給商，正被木馬把持者利用來(lái)存儲(chǔ)惡意軟件配置文件：◆犯法分子不需要為其命令和把持點(diǎn)（也稱(chēng)為更新點(diǎn)）購(gòu)置和保護(hù)域名。

◆犯法分子不需要為他們的運(yùn)動(dòng)購(gòu)置或保護(hù)專(zhuān)用的防彈服務(wù)器。◆公開(kāi)的人物介紹或賬號(hào)一旦被這些服務(wù)刪除，新的人物介紹或賬戶(hù)就能夠快速、免費(fèi)地創(chuàng)立。

從犯法分子的角度來(lái)看，對(duì)公共資源的利用可能更加難以發(fā)明。僅僅通過(guò)掃描可疑URL檢測(cè)托管于公共網(wǎng)站的木馬相干通信資源實(shí)際上已經(jīng)幾乎不可能。這些資源請(qǐng)求安全公司安排其他的檢測(cè)方法。

值得一提的是，盡管存在著許多優(yōu)勢(shì)，但將通信資源托管于公共資源之上的銀行木馬攻擊還相當(dāng)少見(jiàn)；目前這種方法仍然規(guī)矩之外的一種異常方法。通常，在檢測(cè)到要挾并通知相應(yīng)的支撐團(tuán)隊(duì)后，這些命令和把持點(diǎn)的刪除還是非常簡(jiǎn)略和快捷的。