不計其數的黑客們遊蕩在因特網中來欺騙那些容易上當的使用者。它們多年使用著重複的攻擊手段,毫無創新地利用著我們懶惰、誤判和一些犯二的行為。
不過每年,惡意軟體研究人員總會遇到一些引人側目的攻擊手段。這些攻擊手段在不斷擴充惡意攻擊的範圍。新的攻擊手段都是不按套路出牌的,儘管這些手段在被研究看透之後其實很簡單。
在90年代的微軟巨集病毒悄悄地把文件中的零都替換成了大寫字母O,使得很多數字格式直接變成了文字格式。這些變化在大多數情況下可能都不會被發現。直到備份系統的時候,管理員發現文件裡面,居然只有一堆令人抓狂的看似正常的錯誤資料。
現在,最巧妙的攻擊就是祕密的並且不被發現。這裡有一些最新的比較有名的攻擊技術激起了我的興趣,同時也從中學到很多經驗。其中的一些都非常巧妙地借鑑了過去的一些惡意軟體的思路,不過現在都非常流行,甚至可以唬住即使是最精明的使用者。
No.1 無線熱點(AP)偽造
沒有其他攻擊的實現會比偽造熱點更簡單。每個人都使用軟體或無線網路卡把自己偽造成一個無線熱點,然後再把流量天衣無縫地中轉到真正的熱點上。
想想你每次去咖啡廳、機場或者一些公共場所,然後都會連線那裡的免費網路。黑客在星巴克可以把它們的偽造熱點叫做“星巴克 free wifi”或者在機場可以叫“機場免費熱點”,然後幾分鐘內路人都會很自覺地連到這個“免費熱點”上。黑客可以從受害者和遠端主機通訊的資料流中嗅探出未加密資料。你可能會很驚訝這麼多資料,甚至是密碼居然都是明文傳送的。
更邪惡的是黑客可以偽造出一個註冊頁面,告訴接入偽造熱點的使用者要註冊才能使用。普通使用者很可能常常會到處用一個通用的賬號名或者郵箱以及一個通用密碼。黑客然後可以用這些賬號和密碼的組合在大網站上進行嘗試,比如Facebook, Twitter, Amazon, iTunes等等。這些受害者可能還不知道發生了什麼。
經驗:千萬不要相信一個公共無線熱點。因為有些保密資訊也會通過無線網路傳輸。考慮用VPN傳輸所有資料,並且不要在公共站點和私有站點重複使用同一個密碼。
No.2 Cookie竊取
Cookie是一個很美妙的發明,它能夠記錄我們的訪問狀態。這些小文字,由網站傳輸給我們的機器,幫助網站或者服務跟蹤我們的一個或多個訪問,舉個例子,讓我們更輕鬆地就能買到牛仔褲(譯者注:購物車裡面的商品常常存放在cookie中),我們為什麼會不喜歡呢?
答:現在越來越多的黑客竊取我們的cookie來冒充我們。當然了,對伺服器來說,它們是被授權的,伺服器以為它們像我們一樣輸入了有效的賬號和密碼。
當然,cookie竊取似乎從這個發明誕生就出現了,但是有些工具讓這個攻擊變得很容易,點幾下滑鼠就搞定了。比如firesheep,是一個火狐外掛讓人們可以輕鬆竊取別人的明文cookie。當接入一個偽造熱點或在共享網路中時(譯者注:這兩種情況可以嗅探其他主機的網路流量),cookie劫持似乎就更加輕而易舉了。firesheep能夠顯示能找到的cookie的名字和位置,然後只要滑鼠一點,就能劫持這個會話(Github地址 ?中文教程)。
更糟糕的是,現在黑客還能憑空嗅探出有SSL保護的cookie。在2011年9月,BEAST攻擊被證實可以破解https加密的cookie。經過進一步的改進和完善,出現了CRIME攻擊,讓竊取和利用加密的cookie更加容易。
每新的cookie攻擊出現,網站和應用的開發人員被告知如何去保護它們的使用者。有些時候,這個答案是使用最新的加密技術,另外一些時候是,禁用一些不常用的特性。這其中的關鍵點在於網站開發者要安全開發來降低cookie被竊取的可能性,如果你的網站幾年都沒有更新加密保護措施,那麼你可能已經處於風險之中。
經驗:即使是加密的cookie也是會被竊取的,網站的連線要用最新的加密方式。你的https站點必須使用包括TLS V1.2在內的最新加密措施。
No.3 檔名欺騙
惡意軟體從一開始就使用檔名欺騙來誘引使用者執行惡意程式碼。最早的例子是將檔案命名成鼓勵不知情的受害者去點選(比如美女熱圖等),並使用檔案的多重字尾來隱藏自己(比如美女熱圖.jpg.exe)。直到現在,windows和其他的作業系統還是預設地隱藏了臭名昭著的檔案字尾,讓 美女熱圖.jpg.exe 看起來是 美女熱圖.jpg。
幾年前,惡意軟體和病毒常是“伴隨型病毒”,依賴於windows的一個鮮為人知的特性即使你輸入執行病毒.exe,windows仍然會去尋找,如果找到了,直接執行病毒.com來替代。伴隨型病毒會尋找硬碟上所有的exe檔案,然後建立一個同名的檔案,但是是com字尾的。微軟很久前就已經修復了這個漏洞,不過這個被早期的黑客用來隱藏病毒,現在種類繁多的病毒感染方式也可以算從這個模式演化過來的(譯者注:比如熊貓燒香通過感染PE檔案頭來感染所有exe檔案)。
目前一種更復雜的檔名欺騙方式是通過Unicode字元在視覺上去欺騙,現在舉個例子,Unicode的RLO控制符可以讓文字變成從右到左的模式,這樣我們就可以在很多系統裡面使用障眼法,把 美女熱圖avi.exe 變成 美女熱圖exe.avi。
經驗:無論在什麼時候,在執行檔案之前,都最好確保你看到完整的檔名。
No.4 路徑還是路徑
另外有一個有趣的隱藏技巧是“絕對路徑和相對路徑”。在早期Windows(Windows XP、2003或更早)及其他的一些作業系統,如果你鍵入一個檔名然後按下回車或者讓作業系統按照你的需要去尋找一個檔案,系統通常會最先當前資料夾或者目錄位置開始查詢。儘管這種做法看起來效率高並且無害,但是卻會被黑客所利用。
舉一個例子,你想執行一個內建的無害的計算器(calc.exe),你可以很簡單開啟一個命令列,然後敲人calc.exe,然後回車。
但是惡意軟體可以建立一個名為 calc.exe 的檔案隱藏在當前目錄下或者你的home目錄,當你想執行clac.exe的時候,系統會先執行這個惡意的clac.exe程式。
做滲透測試的時候,我非常喜歡這個系統缺陷。通常,我入侵一個主機之後需要進行提權。我可能會把一個已知的未打補丁的程式,放入一個臨時資料夾。多數情況下,我可能只需要一個可執行檔案或者dll檔案,不用管那一整個程式。然後我在程式中輸入這個檔名,然後Windows就會載入這個臨時資料夾中這個惡意程式。我喜歡這個,我可以攻陷一個沒有漏洞的系統僅憑那個壞檔案。
Linux、Unix及BSD系統在10年前就修復了這個問題,Windows則是在2006年後才在Windows Vista/2008修復了這個問題,雖然這個問題在早期版本中仍然為了程式的向上相容而存在。同時,這些年微軟一直在警告和教育開發者使用絕對路徑。但是直到現在,仍然有上萬個早期程式還存在這個問題,黑客比任何人都清楚。
經驗:使用絕對路徑執行程式。
No.5 Host檔案重定向
相信現在大多數使用者還不知道存在一個和DNS相關的檔案叫做hosts(譯者注:看來天朝內hosts檔案知識的普及率比國外高,原因你懂的)。在windows中,它下位於C:\WINDOWS\SYSTEM32\DRIVERS\ETC中, Hosts檔案包含域名和對應的IP地址。 Hosts檔案最初被當做DNS使用,能夠獲得域名IP對映關係,還不用請求DNS伺服器執行遞迴查詢。不過大多數情況下, DNS功能就夠用了,大多數人不會去管那個雖然存在的hosts檔案。
惡意軟體最喜歡篡改host檔案,所以,當有人訪問一個比較熱門的域名(比如google.com),它們會被指向一個惡意的IP。這個惡意網站常常會複製原站的所有內容來達到釣取賬號密碼的目的,而受害者肯定不知道其中的貓膩,因為域名是正確的(譯者注:hosts檔案的優先順序高於DNS)。
這個漏洞現在仍然被廣泛利用。
教訓:如果你不能確定是否被惡意重定向,請檢查你的hosts檔案。
No.6 水坑攻擊
水坑攻擊正如其名,那是一個坑,而且是一個會濺起水花髒到自己的水坑。在這些攻擊中,黑客會利用它們的目標,常常會在某個特定的地方工作這一現狀,汙染那個地方的網路來達到目的。
舉一個例子,很多大公司都自己的咖啡廳、酒吧或者餐廳,那些地方一定很受公司員工的歡迎。黑客會偽造無線熱點(No.1)來試圖獲得儘可能多的賬號及密碼。或者黑客會篡改這些員工常用網站入口來達到同樣的目的。這種情況,黑客將會更加輕鬆加愉快,因為篡改的目標常常是公眾門戶或者社交門戶(比如微博),而不用擔心公司內部平臺一些安全機制。
水坑攻擊在今年成了一個大新聞,幾個大的科技公司,包括Apple、Facebook、微軟以及其他的公司因為一些常用的開發者網站而淪陷。這些開發者網站被感染惡意的js程式碼重定向,將惡意軟體(有些是0day)植入在開發者的電腦上,而這些開發者恰好又是員工,電腦常常接入外人進不去的公司內部網路。
經驗:讓員工們意識到一個受歡迎的”水坑”通常會是黑客的目標。
No.7 誘餌替換
這是其中一個比較有趣的攻擊手段,叫做誘餌替換(譯者注:這個手段被用於各行各業)。受害者看似是下載了一個很棒的軟體,其實它的內容被替換成了惡意軟體,例子比比皆是。(譯者注:這個我深有體會,你去下載站,你可以看到若干個“下載”,如果你真正很乖地去都點開,你會下到很多廣告流氓軟體)。
很常見的例子就是黑客在一些受歡迎的網站上面購買廣告位。當網站確認廣告的時候,這些廣告連結都是無害的,然後網站收了廣告費批准了廣告。這些壞傢伙就把廣告連結替換成惡意連結。然後通常在訪問了惡意連結之後,它們還會檢測使用者點選來源,天衣無縫地把它們指回到原來的廣告上去,並且惡意連結還可以隨時更新。
我見過的最有意思的誘餌替換就是那些壞傢伙創造了一些實用的免費內容,任何人都可以用,然後這些免費的東西都會包含一個許可條款:只要保留原文連結,就能保持免費。不知情的人引用了之後保留這個原始連結(譯者注:這個攻擊在中國可能不會太奏效,因為條款可能不太符合中國國情,大家懂的)。通常原文連結也不會包含太多東西,一些影像或者其他細碎的東西。不過在被上千次引用後,黑客會把原文連結的內容替換成惡意內容,比如js重定向。
經驗:當心那些不受你控制的內容,因為它們可能分分鐘就替換成了惡意內容。