這篇博客內容出自我在VB2012國際會議的演講議題——《中國網(wǎng)上購物市場惡意軟件攻擊分析》，分析了中國網(wǎng)購市場惡意軟件的傳播方式、安全檢測面臨的挑戰(zhàn)以及網(wǎng)購惡意軟件鑒定等內容。

網(wǎng)上購物已經(jīng)成為我國網(wǎng)民的重要生活習慣。根據(jù)報告，截至2011年，我國有5.13億民眾有上網(wǎng)習慣。網(wǎng)路購物的消費總額達到1027億美金。著名購物網(wǎng)站淘寶網(wǎng)，每分鐘可以賣出四萬八千份商品。這不僅僅是個具有龐大商機的市場，也是一個令黑客垂涎三尺的獲利目標。

國內用戶也共享類似的軟件使用習慣。微軟的瀏覽器IE，在國內有超過50%的市場份額。即時通訊軟件QQ則有上億的帳戶量。壓縮軟件則是以Winrar最為普及。在這場演講中所舉例的網(wǎng)購木馬家族，就是利用上述三款軟件對網(wǎng)上購物的網(wǎng)民進行傳播、盜取金錢以及安全軟件的免殺。

網(wǎng)購木馬主要有兩大傳播渠道。第一大傳播渠道是釣魚網(wǎng)站，或是虛假的購物網(wǎng)站。這類網(wǎng)站常常以不可思議的低價來吸引用戶瀏覽ˋ，用戶會由網(wǎng)站上下載由木馬偽裝的”電子折扣券”或是”實物照片”，造成電腦感染。網(wǎng)站也有可能假裝東西賣完了，請用戶留下聯(lián)系方式，一有”貨”就會通知用戶，其實上門的是木馬文件。

第二大渠道是直接通過即時通訊軟件的文件傳輸，透過社會工程學手段主動讓用戶接受文件并且點擊。攻擊者會在特定的群內發(fā)消息，聲稱某某商品大降價，請點擊連結查看詳情，點擊的用戶就有機會中招。黑客也會通過盜來的帳號發(fā)送私密信息，如下圖示意，只要把木馬的圖標提換成美女圖，加上”這是我新女友”的訊息，很多人就會雙擊木馬文件而中招。

網(wǎng)購木馬的典型流程：雙擊執(zhí)行了惡意軟件之后，用戶會看見想看的圖片，譬如商品實物圖、美女圖。貌似無害，但其實這是降低警戒心的手段。木馬程序會開始監(jiān)控瀏覽器頁面，當發(fā)現(xiàn)用戶進入支付頁面的時候，將支付頁面的內容篡改，使得錢實際上是流入了網(wǎng)購木馬作者的黑帳戶里面。黑客會立刻透過購買虛擬寶物后變現(xiàn)、手機充值后購物等方式進行多階段洗錢，使得追蹤源頭相當復雜困難。

我們在現(xiàn)場還展示了一個實際攻擊的案例，當用戶進入支付頁面的時候，木馬會修改網(wǎng)頁的按鈕，使得前往網(wǎng)銀的按鈕實際上卻是對木馬服務器發(fā)出請求。而木馬服務器再對銀行發(fā)起新的請求，這個請求會把錢導向攻擊者的帳戶。銀行回應一個網(wǎng)銀登入確認的頁面，木馬服務器將此頁面送到用戶機器上，最后本地端的木馬負責修改頁面上收款帳戶的訊息，讓用戶信以為真，完成整個詐騙金錢的流程。此類攻擊技術目前國際上稱之為MITB attack(Man in the browser)。

最后的部分，我們分享了偵測網(wǎng)購木馬的挑戰(zhàn)，以及黑客與安全軟件對抗的思路。網(wǎng)購木馬通常以壓縮包形式傳播，而掃描壓縮包對安全軟件來說則是一大挑戰(zhàn)。攻擊者可以構造畸形壓縮包來挑戰(zhàn)掃描引擎的容錯能力。一個相當有意思的案例是一個壓縮包但是有兩個格式在內。文件前端是Compound binary format，里面只有一些無害的文件。緊接在后的是rar壓縮格式，真正的木馬文件則是藏于此處。對于一般殺毒軟件來說，掃描完前面的無害文件之后，很容易忽略掉后面的第二段壓縮格式。但對于Winrar來說，因為文件后墜名是.rar，所以它反而忽略了壓縮包前面的compound binary format，直接解開rar壓縮格式內的木馬文件。所以同一個壓縮包，掃描引擎與Winrar看到的文件卻是截然不同，造成木馬文件可以繞過安全軟件的防御。

對于網(wǎng)購用戶的保護，我們總結了三條主要思路：

在不同的用戶場景，執(zhí)行不同的安全策略。在網(wǎng)購保鏢下，360執(zhí)行最嚴格的安全策略來保護用戶不受木馬攻擊。任何造成威脅的程序皆會被攔截，直到用戶完成網(wǎng)購為止。

以最高速度響應安全威脅。反應速度越快，木馬作者能賺到的錢就越少。當利潤下降到一定程度，木馬的活動就會趨緩。

擁有多層次的防御機制。從360安全瀏覽器、360網(wǎng)盾、到360安全衛(wèi)士，里面包含了惡意網(wǎng)址防御、云查殺、QVM、主動防御、隔離沙箱…等先進防御系統(tǒng)，木馬作者要繞過全部的機制，成本勢必提高。成本提高也會對木馬活動造成相當大的影響，減低攻擊者的意愿