使用多語言的社會(huì)工程技術(shù)來迷惑用戶

2013年3月初，一個(gè)名為“BetaBot”的蠕蟲病毒出現(xiàn)。與其眾多的功能相比，售價(jià)卻便宜得不到500美元。即便如此，它的大部分特征對于現(xiàn)在的蠕蟲病毒來說，都是相當(dāng)標(biāo)準(zhǔn)的。比如，它具有不同的DOS攻擊方法、遠(yuǎn)程連接能力、形式采集和其他信息竊取能力。其中，在某個(gè)地下論壇對一項(xiàng)特殊的特征所打出的廣告引起了我們的注意：“讓反病毒程序見鬼去吧”，后面跟隨著近30個(gè)據(jù)說全部可以被“BetaBot”禁用的安全程序。

它到底要做什么？

當(dāng)BetaBot安裝到系統(tǒng)中以后，開始搜索一個(gè)其聲稱是已知的安全產(chǎn)品清單。當(dāng)找到其中的一個(gè)已安裝的程序后，BetaBot就開始執(zhí)行后面我們要提到的攻擊。它自己做好準(zhǔn)備，通過除掉程序、禁用注冊表項(xiàng)、或僅僅是禁用自動(dòng)更新的方式來攻擊安全程序。根據(jù)安全產(chǎn)品的類型，“BetaBot”還通過注入某些例程到那些通常允許通過防火墻的程序中，例如InternetExplorer，從而試圖繞過防火墻。

用戶訪問控制（UAC）-都是權(quán)限惹的禍

在現(xiàn)代的Windows操作系統(tǒng)中，用戶的權(quán)限被分成標(biāo)準(zhǔn)用戶（低）和管理員用戶（高）。與管理員不同，標(biāo)準(zhǔn)用戶不能修改系統(tǒng)的關(guān)鍵部分。如果用戶啟動(dòng)某個(gè)程序，用戶的權(quán)限就會(huì)被程序記住。因此，程序也可以被分成高級(jí)權(quán)限和普通權(quán)限程序。默認(rèn)情況下，只有普通權(quán)限的用戶才被允許執(zhí)行每個(gè)程序，因?yàn)橛脩魞H擁有默認(rèn)情況下的標(biāo)準(zhǔn)權(quán)限。按需訪問時(shí)，可以提高這些權(quán)限。

粗略地講，所有的程序可分為低權(quán)限和已授權(quán)的程序，而具有較低權(quán)限的程序無法對具有較高權(quán)限的程序進(jìn)行修改，但已授權(quán)的程序卻可以修改自己和較低權(quán)限的程序。此外，權(quán)限也可以在程序間被傳承。因此，如果一個(gè)已授權(quán)的程序啟動(dòng)另一程序，那么這第二個(gè)程序也得到了授權(quán)。

為防止惡意軟件對系統(tǒng)造成嚴(yán)重的傷害，從低到高提高權(quán)限是最關(guān)鍵的一步。是否提升正在運(yùn)行的程序的權(quán)限由用戶決定，系統(tǒng)中的UAC對話會(huì)提示用戶，選擇“是”或“否”進(jìn)行授權(quán)。用戶還可以得到一些額外的有關(guān)程序要求授權(quán)的信息。“BetaBot”針對這個(gè)界面，試圖通過利用社交工程的伎倆來迷惑用戶。

“BetaBot”的上位技巧

對于一些惡意軟件而言，使用低權(quán)限就足以進(jìn)行破壞活動(dòng)，因?yàn)檫@已然可以令攻擊者修改其他權(quán)限較低的程序，讓自己膠著在電腦中。然而，安全程序通常使用提升的權(quán)限運(yùn)行，因?yàn)樗麄冃枰L問系統(tǒng)中的所有資源，以提供最大的保護(hù)。使用提升的權(quán)限運(yùn)行，可以保證安全軟件不會(huì)像操作權(quán)限較低的進(jìn)程那樣被屏蔽掉。因此，為了攻擊安全軟件，“BetaBot”也需提升自己的權(quán)限。為了實(shí)現(xiàn)這一目標(biāo)，它為用戶設(shè)計(jì)了兩個(gè)陷阱，用來說服用戶為自己提供更高的權(quán)限。

上位處理并不是由“BetaBot”直接執(zhí)行的，而是通過微軟Windows的cmd.exe文件，它由命令行的參數(shù)觸發(fā)后，開始執(zhí)行BetaBot。因此，系統(tǒng)會(huì)提示用戶提升Windows程序的權(quán)限，然后將權(quán)限傳承給BetaBot。通常情況下，用戶因疏忽大意而相信這樣的提示，因?yàn)檫@似乎是微軟Windows自己發(fā)出的提示，而這也恰恰是BetaBot希望的。 

cmd.exe文件升級(jí)權(quán)限的提示截圖

但是，如果仔細(xì)觀察不難發(fā)現(xiàn)，我們可以跟蹤到cmd.exe文件會(huì)啟動(dòng)BetaBOTexe文件。 

UAC對話截圖擴(kuò)展視圖

因此，用戶并不清楚，還以為他是在提升Windows可執(zhí)行文件的權(quán)限，但實(shí)際上卻是危及了自己的系統(tǒng)。

讓人欣慰的是，如果彈出UAC對話框，許多用戶會(huì)對冒出來的對話框產(chǎn)生疑問。為了解決這個(gè)問題，BetaBot在要求提升權(quán)限之前提出了一個(gè)理由：如當(dāng)前用戶的文檔文件夾中發(fā)現(xiàn)已損壞的文件夾和“嚴(yán)重的磁盤錯(cuò)誤”等虛假消息，試圖嚇唬用戶相信重要的數(shù)據(jù)可能即將丟失。但BetaBot也提供了一個(gè)二選一的解決方案，兩個(gè)方案都承諾，可以恢復(fù)丟失的文件夾。但實(shí)際上，無論用戶選擇哪一項(xiàng)，都會(huì)觸發(fā)剛才所描述的UAC彈出對話框。

誘騙用戶的UAC對話框中的虛假消息截圖

一旦BetaBot的權(quán)限被提高，它就會(huì)像開頭提到的那樣，試圖攻擊各種安全軟件產(chǎn)品。

為了能夠誘騙世界各地的用戶，BetaBot能夠使用多達(dá)10幾種語言創(chuàng)建UAC對話框和虛假的錯(cuò)誤消息。例如德語、英語、西班牙語、法語、荷蘭語。

教訓(xùn)

惡意軟件經(jīng)常使用恐嚇戰(zhàn)術(shù)，誘騙用戶提供系統(tǒng)訪問權(quán)限。但我們建議用戶：即使情況已相當(dāng)緊急，哪怕即使是GDataFAKEAV發(fā)出系統(tǒng)遭受巨大的感染警告，用戶也應(yīng)保持冷靜，并仔細(xì)驗(yàn)證所提供的資料。在本文提到的BetaBot事件中，分析系統(tǒng)窗口所提供的細(xì)節(jié)就可以發(fā)現(xiàn)，cmd.exe文件實(shí)際上是用來執(zhí)行另一個(gè)程序的。

如上所述，通常情況下，如果程序未被授權(quán)，UAC是用來提供程序權(quán)限的。但是仔細(xì)想想看，難道Windows還需要提升自己的程序權(quán)限，來修復(fù)硬盤上的錯(cuò)誤？對了，絕對不會(huì)。

如何防止這種攻擊

在按下鼠標(biāo)前，先仔細(xì)想想！認(rèn)真閱讀系統(tǒng)發(fā)出的提示，不要輕率的點(diǎn)擊“是”或“確定”。在有疑問的情況下，請人幫助一下，或嘗試到網(wǎng)上搜索一下關(guān)于提示的更多信息。

使用具有惡意軟件掃描、防火墻、網(wǎng)頁和實(shí)時(shí)保護(hù)等綜合功能的，最新的安全解決方案是絕對必要的。能使您免受垃圾郵件困擾的垃圾郵件過濾器，也具有實(shí)際的意義。

安裝的操作系統(tǒng)、瀏覽器和組件以及安裝的安全解決方案應(yīng)始終保持最新。應(yīng)盡快關(guān)閉現(xiàn)有的安全漏洞并安裝程序更新。