欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

McAfee Labs 威胁报告 2017.06 (下)

来源:本站整理 作者:佚名 时间:2017-07-13 TAG: 我要投稿

密码盗用程序Fareit的增长性危险 — — RaviKant Tiwari 和 Yashashree Gund
我们生活的这个时代,越来越多的人正在越来越多地依赖于他们的个人电子设备。此趋势使得我们对保护这种依赖关系免受威胁,比以往更加重要了。信任凭据是我们的主要安全方法,因而也成为了籍此牟利的网络犯罪的主要攻击途径。
不幸的是,人类的行为是在这些关系中最薄弱的一环。大多数人只有极低安全习惯,他们在创建密码的时候不够注意,从而将自己暴露于暴力破解的攻击之中。甚至更糟糕的是,他们有时根本不去保护自己,包括根本不设置或更改默认密码等。这种行为所招致的诸如Mirai botnet的攻击,我们已在McAfee Labs威胁报表:2017年4月刊里强调过。
云计算正在逐渐地改变着我们使用电脑的方式。各类消费者和商家越来越多地将重要的信息和服务存储到云端。然而我们却通常使用相同的认证方案,而且基于相似的人类行为弱点,去访问着那些基于云计算的信息和服务。因此,因为数据和计算资源的集中,云计算已经成为了越来越对网络犯罪分子具有吸引力的目标。
正如我们在《McAfee Labs2017年威胁预测报表》中所预见的,恶意软件以信任凭据为目标进行盗窃,其形势日趋严重,我们需要开发出更好的方法予以应对。
使用密码盗用工具来盗窃信任凭据
几乎所有主要的APT都会在早期阶段使用到密码盗用工具。这种类型的恶意软件增加了在整体攻击生命周期中的经济收益。网络侧恶意软件的攻击活动主要依赖于由密码盗用工具所截获到的信任凭据。
新的密码窃取类恶意软件的变种增强了其从抓取银行信任凭据到比特币和游戏币的能力。Fareit,也被称为Pony,是目前用于窃取密码的顶级恶意软件家族成员之一。它可以从超过100种包括电子邮件、FTP、即时消息、 VPN、 web 浏览器和更多的应用程序中夺取信任凭据。
以下图表显示了McAfee Labs在过去三年期间里收到的专注Fareit事件的数量。
Fareit 客户事件

起源
Fareit在2011年被微软首次发现。Fareit 的稳健性和较强的功能,使之成为最受欢迎的密码窃取类恶意软件长达五年之久。
以下图表显示了从 2011年到2017 年,McAfee 和微软对Fareit的检测。
新的Fareit检测

以下的热度图显示了2017 年第一季度Fareit所控制的服务器的分布。
Fareit 控制服务器的热度图

Fareit 被跟踪到的最早版本是1.7,其中的大多数功能为如今的最新版本2.2所拥有。
Fareit(我们将把Fareit 和Pony作为此类恶意软件族的例子) 是有史以来最成功的密码窃取软件。这个成功案例已导致它在几乎所有主要的、旨在窃取敏感信息的网络攻击中被频繁使用到。
在本报表中,我们将讨论Fareit和其关联的其他恶意软件在不同平台的演化。我们还将讨论到去年秋天对民主党全国委员会 (DNC)的攻击,就可能使用到了这个“不老的”恶意软件。
感染途径
Fareit通过网络钓鱼/垃圾邮件、DNS投毒和漏洞套件等机制进行传播。
垃圾邮件
下图显示了垃圾邮件是如何传播Fareit的。受害者收到恶意的、以Word文档、JavaScript或归档文件作为附件的垃圾邮件。一旦用户打开附件,Fareit就感染到系统中。然后它下载额外的、基于其当前活动状态的恶意软件,并且将窃取到的信任凭据发送到其控制服务器上。

DNS 投毒
在此技术中,诸如Rbrut的恶意软件通过暴力攻击,获取路由器的管理员访问权限。然后它更改主DNS的设置,并将被感染的系统重定向到一个“流氓”DNS 服务器上。
“流氓”DNS服务器将用户重定向到提供Fareit的恶意网站。

Bot和控制服务器的体系结构
不同于大多数由特定的群体和集中控制服务器的僵尸网络,任何攻击者都可以从黑市网(dark web)上购买到Pony。买家搭建个人的控制服务器,以开始攻击的过程;或是购买另一个攻击者的控制面板服务。购买来的控制面板能够提供被盗的信任凭据报表。
Pony项目分为三个部分:
Pony生成器 (PonyBuilder.exe): 一组用于创建编译客户端--"Pony Bot"的程序,编译包括其调用包,它使用的是masm32编译器。
Pony Bot: 客户端必须被下载到目标系统中,来收集并将密码发送给控制服务器。
一组服务器端的PHP脚本:包括一个管理面板和脚本门 (gate.php),用户发送窃取的密码。

Pony生成器(Builder): 此工具允许攻击者创建自己的Pony Bot。他们可以指定控制服务器的地址,让Bot发送窃取到的信任凭据和其他统计数据。

图 1: Pony生成器的源代码文件。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载