譯者 | 陳峻

審校 | 孫淑娟

表單抓?。‵orm-Grabbing）類惡意軟件每天都在悄無聲息地感染著數(shù)千臺計(jì)算機(jī)。而就在您的不經(jīng)意之間，這種惡意軟件竊取到了您的敏感數(shù)據(jù)，進(jìn)而向其他的惡意黑客授予對您的計(jì)算機(jī)的訪問權(quán)限，以便他們能進(jìn)一步向您發(fā)送垃圾郵件，或竊取您更多的信息。

什么是表單抓取類惡意軟件?

此類表單抓取類惡意軟件往往是專門針對從瀏覽器的頁面上捕獲Web表單數(shù)據(jù)（如：用戶名、密碼和其他個人信息）而設(shè)計(jì)的。

盡管鍵盤記錄器（keylogger）至今仍會被用來竊取管理員的數(shù)據(jù)，但是表單抓取可謂獲取瀏覽器憑據(jù)的最常見方式之一。它們主要被用于用戶通過互聯(lián)網(wǎng)，與銀行網(wǎng)站的安全服務(wù)器交互之前，從表格中識別并竊取重要數(shù)據(jù)信息。

與鍵盤記錄器不同，即使用戶的數(shù)據(jù)和憑據(jù)只是通過粘貼，自動填充，以及使用虛擬鍵盤輸入的，也會被表單抓取器所獲取到。這些被收集到的信息隨后會被存儲，進(jìn)而傳輸?shù)教囟ǖ姆?wù)器上。

表單抓取的發(fā)展史

雖然此項(xiàng)技術(shù)誕生于2003年，但是直到2007年的Zeus出現(xiàn)之后，表單抓取才被認(rèn)為是一種主要的惡意軟件攻擊。該惡意軟件往往會被嵌入到發(fā)送給多個收件人的電子郵件中。此類郵件的目標(biāo)就是要讓人們錯誤地認(rèn)為，它們來自信譽(yù)良好的銀行或公司。從2011年被公布于世的Zeus源代碼來看，它能夠允許創(chuàng)建不同版本的木馬。

盡管初代Zeus的代碼已經(jīng)被淘汰，但是由其產(chǎn)生的、非常惡劣的表單抓取類惡意軟件，至今仍在互聯(lián)網(wǎng)上肆虐。其中最為著名的當(dāng)屬SpyEye。SpyEye使用的便是其前身Zeus的相關(guān)代碼，并以網(wǎng)絡(luò)瀏覽器為目標(biāo)，通過記錄擊鍵，在用戶登錄銀行門戶時，竊取其憑據(jù)和授權(quán)。

SpyEye非常難以被察覺和追蹤到。它主要通過來自不安全的網(wǎng)站鏈接、以及垃圾郵件的方式，潛入您的計(jì)算機(jī)，進(jìn)而主動發(fā)起交易，竊取資金，并將其發(fā)回給其創(chuàng)建者。

表單抓取類惡意軟件的工作原理

如前所述，一種成功的抓取表單軟件的關(guān)鍵是，在瀏覽器和網(wǎng)絡(luò)棧之間插入惡意軟件，以便在數(shù)據(jù)被加密之前，就攔截內(nèi)容。

首先，它需要在瀏覽器中安裝瀏覽器幫助對象（Browser Helper Object，BHO）。這允許惡意軟件尋找對于HttpSendRequest函數(shù)的調(diào)用。而HttpSendRequest函數(shù)主要負(fù)責(zé)建立到互聯(lián)網(wǎng)的連接，并將HTTP請求發(fā)送到指定的站點(diǎn)處。

惡意軟件通常會在每次啟動時將??動態(tài)鏈接庫文件??? (Dynamic Link Library files，DLL??) ??輸入到瀏覽器中。同時，此類惡意軟件還會更改HTTP函數(shù)，通過重新配置它們，以允許在入棧之前，將請求發(fā)送到含有木馬的代碼所有者那里。

如何免受表單抓取類惡意軟件的侵害

對付表單抓取器的最有效方法之一，便是安裝帶有病毒簽名的防護(hù)軟件。此外，限制用戶的權(quán)限，以防止下載BHO，則是防止木馬程序入侵系統(tǒng)的另一種策略。

安裝病毒防護(hù)軟件

防病毒軟件可以通過掃描來自互聯(lián)網(wǎng)的流量，并根據(jù)已知的威脅，標(biāo)記出那些可疑的交互，進(jìn)而盡快地阻止惡意軟件的自我植入，以及木馬程序的彈窗。同時，若要使得防病毒軟件能夠有效地抵御表單抓取之類的惡意程序，則需要通過持續(xù)更新的方式，來防范最新形式的惡意軟件。

當(dāng)然，有些程序可能會直接強(qiáng)制您使用手動的檢查方式。不過，由于人工判斷能力的不同，有時候這種做法會讓那些處于遠(yuǎn)程設(shè)備上的惡意軟件被輕易地忽略掉，而不被發(fā)現(xiàn)。而更糟糕的是，在大多數(shù)時候，即使防病毒軟件檢測到了木馬惡意軟件，也只是會將它們置于隔離區(qū)中，等待用戶主動去查看，以及按需刪除?？梢?，在此類應(yīng)用場景中，我們更需要的是病毒防護(hù)軟件能夠?qū)λ邢到y(tǒng)執(zhí)行自動掃描，立即對檢測到的惡意軟件予以刪除。這才是應(yīng)對表單抓取器最有效的方法。

避免未經(jīng)加密的連接

您應(yīng)該避免在未加密的網(wǎng)站上填寫表格。僅僅使用HTTP的網(wǎng)站，如今已被Google Chrome等流行的瀏覽器標(biāo)記為不安全的方式。用戶在訪問時，會收到有關(guān)該網(wǎng)站不安全的警告。

通常，使用HTTPS協(xié)議的網(wǎng)站更為安全。一個帶掛鎖的符號通常會出現(xiàn)在URL地址欄中，以表明該網(wǎng)站正在使用HTTPS協(xié)議，且為安全的。由于它使用復(fù)雜的加密來保護(hù)網(wǎng)站和瀏覽器之間數(shù)據(jù)的交換，因此HTTPS不允許任何形式的抓取或鍵盤記錄。

其實(shí)，HTTPS與HTTP屬相同的協(xié)議。唯一的區(qū)別在于，前者建立在安全傳輸層（Transport Layer Security，TLS）之上。它除了加密Web應(yīng)用與其服務(wù)器之間的連接之外，還可以保護(hù)電子郵件和消息的傳遞。

更重要的是，使用HTTP的網(wǎng)站只能將其數(shù)據(jù)以純文本形式傳輸，使得惡意攻擊者能夠很容易地讀取到它們。相反，即使您的計(jì)算機(jī)中存在著惡意軟件，若您訪問的網(wǎng)站是運(yùn)行在HTTPS協(xié)議之上的網(wǎng)站，那么惡意軟件收到了數(shù)據(jù)后，也無法讀取或解碼已加密的信息。

使用URL黑名單

在您訪問某個網(wǎng)站之前，為了安全起見，請確保它沒有被列入黑名單。為此，您可以使用??Google透明度報告??（Google Transparency Report）。如下圖所示，請?jiān)陧撁娴乃阉鳈谥休斎氪L問網(wǎng)站的URL，如果列出了該網(wǎng)站的相關(guān)診斷信息，則可以確認(rèn)它會通過插件和下載的方式傳播惡意軟件。通過避免訪問被列入黑名單的網(wǎng)站，我們可以有效地減少惡意軟件進(jìn)入計(jì)算機(jī)的機(jī)會。

設(shè)置網(wǎng)絡(luò)防火墻

此外，有許多不安全的頁面還會帶有有害的重定向，因此它們也會被列入黑名單。為此，您也可以將這些已列入黑名單的網(wǎng)站，添加到防火墻中，以確保自己在瀏覽互聯(lián)網(wǎng)時，不會意外地連接到它們。畢竟，Web防火墻在阻止這些重定向的同時，起到了保護(hù)敏感數(shù)據(jù)免受表單抓取器侵害的作用。

小結(jié)

目前，雖然表單抓取類惡意軟件十分常見，但是我們可以采取一些積極的防護(hù)措施，以確保僅從受信任的來源下載擴(kuò)展和插件，進(jìn)而防止數(shù)據(jù)被盜。同時，您也可以通過創(chuàng)建有害網(wǎng)站和服務(wù)器的列表，并將它們添加到防火墻的黑名單中，來保護(hù)您的計(jì)算機(jī)。

當(dāng)然，防病毒程序也是不錯的選擇，最好它們能夠自動掃描惡意軟件，并立即將其刪除。就個人習(xí)慣而言，您應(yīng)該盡量避免訪問非HTTPS協(xié)議的站點(diǎn)。因?yàn)楸韱巫ト∧抉R就會在那里等著您的光顧。 

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗(yàn)。

原文標(biāo)題：??Form-Grabbing Malware: A Silent Threat to Your Online Security??，作者：OLUWADEMILADE AFOLABI