昨天，兩位研究人員在黑帽大會上拉開了有針對性的惡意軟件攻擊的帷幕，演示了依靠各種攻擊手段實現(xiàn)的攻擊，這些手段包括從零日PDF攻擊到基于內(nèi)存的rootkit攻擊。在當天舉行的四場演示中，每種攻擊都進行了精心設(shè)計，其目的在于攻破目標公司，而且還在惡意軟件中增加了新功能，以避開已經(jīng)部署的檢測保護系統(tǒng)，或者使網(wǎng)絡(luò)安全取證調(diào)查人員無法取證。

數(shù)據(jù)安全和支付卡行業(yè)合規(guī)性管理解決方案提供商Trustwave公司的安全研究機構(gòu)SpiderLabs的高級副總裁Nick Percoco指出，“定制惡意軟件是攻擊取得成功的關(guān)鍵，穩(wěn)扎穩(wěn)打是攻擊取得成功的重要因素。攻擊者既沒有急于求成，也沒有采用什么齷齪伎倆。攻擊的持續(xù)性至關(guān)重要，攻擊者必須不斷發(fā)起并保持攻擊?！?/P>

有針對性的、持續(xù)性的攻擊一直是今年的主要攻擊方式。谷歌及其他30多家技術(shù)公司、大型企業(yè)和美國國防承包商先后承認，黑客已經(jīng)滲透其網(wǎng)絡(luò)，利用先進的攻擊技術(shù)秘密竊取了其敏感數(shù)據(jù)。這些攻擊還創(chuàng)造了一個新的安全術(shù)語：高級持續(xù)性威脅（Advanced Persistent Threat，APT）。

雖然有針對性的攻擊可能成為更加流行的攻擊方式，但攻擊者進入企業(yè)網(wǎng)絡(luò)的手段與一年半前并沒有太大區(qū)別。鍵盤記錄器、網(wǎng)絡(luò)嗅探器和內(nèi)存轉(zhuǎn)儲工具仍然是主要的攻擊工具，所不同的是攻擊者采用了新的手段隱藏其蹤跡，以便能夠長期開展持續(xù)性的攻擊。

Percoco與其同事、Trustwave公司資深取證調(diào)查員Jibran Ilyas同時指出，在許多情況下，攻擊者可以在眾目睽睽之下隱藏其蹤跡。例如，他們使用可信賴的方式（例如FTP、HTTP和SMTP）將數(shù)據(jù)從企業(yè)傳送出去。防火墻不會將HTTP流量標記為異常，而如果流量使用大于31337的TCP端口傳送時，防火墻將會產(chǎn)生告警。

在其他情況下，例如在最近對一個知名人士經(jīng)常光顧的、著名的邁阿密運動吧的攻擊中，攻擊者找到了避開數(shù)據(jù)丟失防護軟件的簡單方法。攻擊者使用基于內(nèi)存的rootkit工具安裝惡意軟件，該惡意軟件可以捕獲在該運動吧刷卡的信用卡磁條數(shù)據(jù)。該運動吧沒有IT人員，其所有IT需求都是通過外包實現(xiàn)的。更糟糕的是，其收銀系統(tǒng)與視頻安全系統(tǒng)的DVR（數(shù)碼錄像機）服務(wù)器是同一套系統(tǒng)。

攻擊者設(shè)法在該系統(tǒng)中安裝了一個rootkit工具，該rootkit工具只提取包含信用卡號碼的磁條數(shù)據(jù)。在每張信用卡的磁條數(shù)據(jù)中，信用卡號碼與信用卡帳戶持有人姓名之間有一個“carrot”字符（“^”）。數(shù)據(jù)丟失防護軟件將這個“^”字符看作是信用卡號碼的一部分。該惡意軟件的目的就是使用百分號替代這個“^”字符。當包含信用卡號碼的數(shù)據(jù)被傳送出去時，數(shù)據(jù)丟失防護軟件永遠也查找不到這個“^”字符。

在針對West Coast網(wǎng)上成人書店的攻擊中，攻擊者設(shè)法劫持了一個Web應(yīng)用程序（該網(wǎng)站所有Web應(yīng)用程序的開發(fā)都是外包的）并安裝了一個鍵盤記錄器，以竊取管理頁面上的身份驗證憑據(jù)。令人難以置信的是，該管理頁面居然允許文件上傳，從而使這樣的攻擊能夠得逞。

為了防止警惕的管理員可能會注意到Windows文件夾中多出來一個新的日志文件，該惡意軟件中還包含了一個工具，可以修改新日志文件的時間戳數(shù)據(jù)，以使其看起來好像是自操作系統(tǒng)安裝時就已經(jīng)存在了。

Percoco指出，“太多的第三方應(yīng)用程序存在漏洞”。

第三方應(yīng)用程序還導(dǎo)致國際VoIP服務(wù)供應(yīng)商被攻擊者攻破。國際VoIP服務(wù)供應(yīng)商為客戶提供了兩種付款方式：在線支付或通過銷售終端支付。攻擊者可以在Ngrep中加入一個網(wǎng)絡(luò)嗅探器，Ngrep是一款允許用戶在網(wǎng)絡(luò)數(shù)據(jù)包中搜索正則表達式的工具。該惡意軟件將會查找包含信用卡數(shù)據(jù)的數(shù)據(jù)包，并在每天固定的時間將其通過FTP發(fā)送給攻擊者。

在由兩名研究人員共同完成的最后一個攻擊演示中，一家為美國軍方進行數(shù)據(jù)分析的國防承包商的網(wǎng)絡(luò)也被一個Adobe PDF零日攻擊攻破。攻擊者發(fā)送一封精心設(shè)計的、看起來像是來自行政部門的電子郵件，其內(nèi)容和簽名也與該行政部門日常發(fā)送的電子郵件相同。實際上，該郵件的附件是一個被感染的PDF文件。一旦該PDF文件被打開，惡意軟件就會竊取受害者計算機中的“我的文檔”文件夾內(nèi)的所有文檔，并通過FTP將這些內(nèi)容上傳到攻擊者的服務(wù)器。

Percoco表示，“這些攻擊防不勝防。我們看到，新的攻擊層出不窮，攻擊者不斷開發(fā)新的攻擊工具，并為這些攻擊工具增加新的高級功能和自動化功能。利用這些自動化功能，攻擊者甚至不需要接觸要攻擊的系統(tǒng)就可以發(fā)起攻擊?！? 

【編輯推薦】

1. 五大高危險僵尸網(wǎng)絡(luò)攻擊模式全解析
2. 秘籍：DDOS網(wǎng)絡(luò)攻擊的7種武器