国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　近來(lái)，專門(mén)利用熱門(mén)軟件漏洞來(lái)攻擊單一特定對(duì)象的惡意軟件攻擊越來(lái)越普遍。在頗為知名的“Aurora”惡意軟件攻擊 以及至少其他二十多家公司之前，鎖定單一目標(biāo)的惡意軟件攻擊就已經(jīng)相當(dāng)普遍，而且不斷政府機(jī)關(guān)、軍事單位、民間、教育機(jī)構(gòu)以及一般民間網(wǎng)絡(luò)。雖然美國(guó)政府與相關(guān)網(wǎng)絡(luò)遭到此類攻擊已不是新聞，但越來(lái)越多其他國(guó)家的政府和民間機(jī)構(gòu)也面臨了同樣的威脅。

　　今年稍早，加拿大、韓國(guó)和法國(guó)政府一些敏感的網(wǎng)絡(luò)都曾發(fā)生嚴(yán)重的事件。最近，歐盟執(zhí)行委員會(huì)(European Commission) 與歐盟對(duì)外事務(wù)部(European External Action Service) 也都遭到入侵。此外，信息安全廠商 RSA 與 Comodo 也都坦承發(fā)生安全事件，其中，至少 RSA 的案例看來(lái)就是一起鎖定單一目標(biāo)的惡意軟件攻擊。

　　是技術(shù)高超還是瞎貓碰上死耗子?

　　這類攻擊經(jīng)常被形容為技術(shù)高超或?qū)ｉT(mén)針對(duì)被害人的攻擊，不論是哪一種說(shuō)法，基本上就是表示攻擊得逞。這類事后的描述經(jīng)常暗指攻擊者完全掌握了受害者的漏洞，在某些情況下，甚至完全符合他們的期望。我們很難根據(jù)那些模糊的公開(kāi)信息來(lái)判斷這些說(shuō)法是否屬實(shí)。所以，本文無(wú)意駁斥這些說(shuō)法，只是希望強(qiáng)調(diào)，攻擊者之所以能夠鎖定單一目標(biāo)、具備精密的攻擊技巧，全靠日積月累的知識(shí)，而非高超的工具和方法。

　　雖然大多數(shù)的因特網(wǎng)使用者可能一輩子也不會(huì)成為鎖定的單一目標(biāo)，反倒比較容易成為一般威脅的受害者，例如：假防軟件 Fake AV 與網(wǎng)絡(luò)銀行程序 (Zeus、SpyEye)，但專門(mén)從事單一目標(biāo)攻擊的惡意軟件樣本數(shù)量卻從未減少。不過(guò)，實(shí)際上，攻擊目標(biāo)的針對(duì)性也有很大的變異。有些惡意攻擊者喜歡制造一些“噪聲”。他們會(huì)四處散發(fā)惡意文件 (通常會(huì)利用某些主題或問(wèn)題來(lái)執(zhí)行社交工程技巧)，但這些文件的收件者 (也就是潛在的目標(biāo)) 為數(shù)頗多。這些當(dāng)然并未鎖定某位個(gè)人或某個(gè)機(jī)構(gòu)。但是，這類攻擊很可能是針對(duì)特定目標(biāo)的后續(xù)攻擊前兆。

　　歹徒先做好功課

　　最近我從contagiodump.blogspot.com 所收到的一個(gè)樣本就展示了這類攻擊“噪聲”所能達(dá)到的偵查效果。此惡意軟件樣本是一個(gè)專門(mén)利用 HTML 說(shuō)明檔漏洞的 .CHM 檔案。該程序就是趨勢(shì)科技所偵測(cè)到的CHM_CODEBASE.AG，它會(huì)在系統(tǒng)植入 BKDR_SALITY.A 后門(mén)程序，接著制造一些網(wǎng)絡(luò)流量，連上知名 BKDR_SALITY.A。

　　此外，該惡意軟件還會(huì)產(chǎn)生一些網(wǎng)絡(luò)聯(lián)機(jī)連上win.dyndns.info。該服務(wù)器上的網(wǎng)頁(yè)含有一段JavaScript 程序代碼會(huì)使用 res:// 通訊協(xié)議來(lái)列出受害計(jì)算機(jī)上所安裝的特定軟件，然后將列表傳送至 win.dyndns.info。這種藉由 res:// 通訊協(xié)議來(lái)找出系統(tǒng)安裝軟件的方法，早在 2007 年就由 Billy Rios 所發(fā)表。

　　根據(jù) Rios 解釋，Internet Explorer 從 4.0 版開(kāi)始即內(nèi)建 res:// 通訊協(xié)議，可用于偵測(cè)遠(yuǎn)程計(jì)算機(jī)上是否安裝了特定軟件，因此攻擊者只要引誘使用者以連上某個(gè)網(wǎng)頁(yè)即可。如同 Rios 指出，這項(xiàng)技巧可用于找出特定應(yīng)用程序，進(jìn)而找出適用的漏洞攻擊技巧。此外，還可偵測(cè)系統(tǒng)是否有某個(gè)存在。這么多年之后，這項(xiàng)技巧依然有效。

　　在win.dyndns.info 網(wǎng)頁(yè)上 JavaScript 程序代碼可廣泛偵測(cè)下列軟件：

　　此外，它還會(huì)檢查系統(tǒng)上的檔案分享軟件、網(wǎng)頁(yè)瀏覽器、遠(yuǎn)程管理工具、電子郵件客戶程序、下載管理員以及。信息安全軟件也在其偵測(cè)之列，包括：市場(chǎng)上主要的防病毒軟件與產(chǎn)品，還有 PGP 加密軟件。此外，該惡意軟件還會(huì)檢查虛擬機(jī)軟件，并且偵測(cè)自己是否在 虛擬機(jī)內(nèi)執(zhí)行。最后，它還會(huì)檢查Microsoft 更新 (KB842773 至 KB981793)。

　　老實(shí)說(shuō)，這個(gè)惡意軟件樣本有點(diǎn)奇怪，因?yàn)樗鼤?huì)在入侵用戶的計(jì)算機(jī)之后才執(zhí)行上述檢查。如果是用來(lái)偵查，不是應(yīng)該在攻擊之前就執(zhí)行嗎?一種可能的解釋是，攻擊者刻意送出一些攻擊“噪聲”，希望系統(tǒng)管理員在清除這些噪聲之后就忘了這件事。但此時(shí)攻擊者已經(jīng)搜集到企業(yè)的計(jì)算機(jī)配備數(shù)據(jù)。因此，就知道該公司偏好的防病毒軟件、特定軟件版本以及其他可用信息，接下來(lái)就很容易針對(duì)該目標(biāo)發(fā)動(dòng)進(jìn)一步攻擊。當(dāng)攻擊者準(zhǔn)備就緒時(shí)，就會(huì)發(fā)動(dòng)一次攻擊來(lái)竊取想要的數(shù)據(jù)。

　　此時(shí)，攻擊者已經(jīng)知道某個(gè)目標(biāo)有哪些軟件漏洞可以利用。想當(dāng)然，這次攻擊又會(huì)被形容為技術(shù)高超或?qū)ｉT(mén)針對(duì)被害人的攻擊，然而它之所以能夠得逞，完全是因?yàn)橄惹耙颜莆盏奖匾馁Y料。