安全公司FireEye稱，一組創(chuàng)新的攻擊者利用谷歌和一家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司的免費(fèi)服務(wù)來掩飾從企業(yè)和政府電腦中竊取的數(shù)據(jù)。

[[117909]]

FireEye公司在3月份對(duì)感染了遠(yuǎn)程訪問工具(該公司稱之為Kaba，知名的PlugX的變體)的系統(tǒng)流量進(jìn)行分析時(shí)，發(fā)現(xiàn)了這種攻擊活動(dòng)，被稱之為Poisond Hurricane。

在多個(gè)美國(guó)和亞洲互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)提供商，金融機(jī)構(gòu)和一個(gè)亞洲政府機(jī)構(gòu)發(fā)現(xiàn)了受感染的電腦，F(xiàn)ireEye并沒有透露這些受害者的名稱。

FireEye稱，這些身份不明的攻擊者使用魚叉式釣魚攻擊來感染系統(tǒng)，然后利用惡意軟件來竊取敏感信息，并發(fā)送到遠(yuǎn)程服務(wù)器。

這些攻擊者的獨(dú)特之處在于，他們使用Google Developers和Hurricane Electric公司的公共域名系統(tǒng)(DNS)服務(wù)來掩飾惡意軟件和命令控制服務(wù)器之間的流量。

在這兩種情況下，這些服務(wù)被用來作為某種交換站點(diǎn)來重定向流量，這些流量看似被發(fā)送到合法域名，例如adobe.com、update.adobe.com和outlook.com。

FireEye公司高級(jí)威脅情報(bào)研究人員Ned Moran表示：“這是攻擊者隱藏其流量的新技術(shù)。”

Moran稱，這些攻擊者的策略非常聰明，可以欺騙網(wǎng)絡(luò)管理員相信流量正發(fā)送到合法站點(diǎn)。

這種惡意軟件通過包含偽造的合法網(wǎng)站的HTTP表頭來掩飾其流量，F(xiàn)ireEye發(fā)現(xiàn)了攻擊者使用的21個(gè)合法域名。

此外，這些攻擊者使用來自被列為“警察互助協(xié)會(huì)(Police Mutual Aid Association)”的合法證書，以及來自被稱為“MOCOMSYS INC”的組織的過期證書，來為Kaba惡意軟件簽名。

在Google Developers的情況下，攻擊者使用該服務(wù)來托管代碼，解碼惡意軟件流量來確定真正目的地的IP地址，然后重定向流量到該位置。

Google Developers之前被稱為Google Code，這是該搜索引擎公司的網(wǎng)站，專門提供軟件開發(fā)工具、應(yīng)用編程接口(API)以及與谷歌開發(fā)者產(chǎn)品合作的文檔。開發(fā)人員還可以利用該網(wǎng)站來分享代碼。

通過Hurricane Electric，攻擊者可以利用這個(gè)事實(shí)，即其域名服務(wù)器被配置，這樣任何人都可以使用該公司的托管DNS服務(wù)來注冊(cè)免費(fèi)的賬號(hào)。

該服務(wù)允許任何人注冊(cè)一個(gè)域名區(qū)域(+微信關(guān)注網(wǎng)絡(luò)世界)，這是DNS的域名空間中明確的連續(xù)部分。注冊(cè)人然后可以為該區(qū)域創(chuàng)建記錄，并指定它們到任何IP地址。

另外，Hurricane并不會(huì)檢查新建區(qū)域是否已經(jīng)注冊(cè)或者由其他方所擁有。

Google和Hurricane收到通知其服務(wù)被惡意利用，這兩家公司都已經(jīng)刪除了攻擊機(jī)制。

Hurricane公司發(fā)言人Mike Leber表示：“我們非常感謝FireEye發(fā)現(xiàn)和記錄了這個(gè)不尋常的攻擊，這樣我們就可以利基修復(fù)我們的服務(wù)來消除在未來出現(xiàn)這種攻擊的可能性。”

Moran認(rèn)為這些服務(wù)是攻擊者創(chuàng)造力的受害者，而不是因?yàn)槁┒础?/p>

“這些是在網(wǎng)上提供的服務(wù)，可用于好的目的，也可用于惡意目的，”他表示，“槍可以用來保護(hù)人，也可以用來傷害人。”(鄒錚編譯)