現在,筆者發現自己的疑問有很多。對于惡意軟件,筆者特別想進行更深入的了解。經過初步研究,筆者將目標鎖定在兩種木馬Zeus和URLZone上。Stewart先生不僅同意這一觀點,而且也具備足夠的能力。他給筆者留下的最深刻印象是,沒有一件事是肯定的,因為它總是處于不斷變化的狀態中。
不斷變化的風險
實際上,盡管這兩種木馬程序包非常成功,但這并沒有讓他們的開發人員停止對惡意代碼的改進。這種現象,被Stewart先生稱之為:“不斷變化的風險”。他進一步解釋說,網絡犯罪也是一種商業模式,為了保證收入來源,壞人也要確保其產品處于正常工作的狀態。
這種不斷變化的特性使得犯罪軟件只能在“事后”才會被確定,這對于安全研究人員來說,是一項艱巨的任務。但是,接下來的一份事件報告顯示出一條不同的路線來。不過,筆者認為大家首先要做的還是了解一下Zeus和URLZone的情況。
商業木馬軟件:Zeus
Zeus是一種采用了模塊化程序結構的木馬,并且是以商業軟件的形式出售:價格需要詢問才能得知,不過似乎平均價格在700美元左右。RSA信息安全公司的反欺詐中心已經發現了數百個不同的變種,每個變種每天都感染數以千計的計算機系統。
筆者不知道我們是否應該感到驚訝,Zeus包含有一份最終用戶許可協議。賽門鐵克的研究人員在對Zeus進行分析的時間發現了最終用戶許可協議,并將內容翻譯出來,如下圖所示:
1、任何沒有擁有發行權的商業公司或者企業不得銷售相關的產品。
2、禁止對程序的二進制代碼進行分析和復制。
3、禁止利用控制臺功能來對其它僵尸網絡進行控制或者用于其它任何目的。
4、反病毒公司和其他類似機構沒有權力蓄意清除軟件中的任何部分。
5、銷售方承諾在軟件出現錯誤的時間予以更新,并支持付費獲得更多的新功能。
不象大多數最終用戶許可協議,這份協議的內容簡短而中肯。筆者必須說,在很多通常的最終用戶許可協議中,筆者都沒有看到過第四點。為了表明他們是非常認真的,開發團隊還給出了警告(位于紅色框中):
“一旦違反最終用戶許可協議的情況被發現,客戶將立即喪失所有的技術支持。此外,軟件中的二進制代碼將被立即傳送到反病毒公司。”
二進制代碼
剛開始,筆者并不明白該警告的意義,直到了解到Zeus實際上是一個二進制發生器。這意味著Zeus木馬的每一個迭代都是不同的。這樣就可以降低反病毒簽名文件的效果。
銀行類犯罪軟件
看起來Zeus的開發目的就是從網絡銀行使用者那里竊取資金。這就是它最主要的功能:
· 檢測輸入的銀行信息。
· 查看實時屏幕截圖并遠程控制顯示器上的顯示信息。
· 利用專業的鍵盤記錄工具竊取密碼和其他登錄信息。
· 對竊取的信息進行加密,并利用即時通訊工具Jabber將信息傳送到攻擊者的服務器。
Stewart先生指出,Jabber的使用讓Zeus增加了一個新層面。它允許犯罪分子實時取得登錄憑據。這意味著有可能一次性密碼仍然有效。RSA的FraudAction研究實驗室對整個過程進行了解釋:
1、攻擊者利用Zeus木馬的一個變種通過在線網絡攻擊感染到合法用戶的計算機。
2、攻擊者將竊取的信息發送到Zeus木馬所在的服務器。
3、Jabber的即時通訊模塊對服務器上的帳戶數據庫進行搜索,查找具體組織(通常是金融機構)對應的信息。
4、Jabber的即時傳輸模塊將具體的帳戶信息通過“發送”帳戶進行傳送。
5、在被盜用戶的系統中,攻擊者很快就可以收到來自Jabber“接收”帳戶的信息。
6、依靠這些用戶信息,攻擊者就可以登錄到該帳戶中并進行欺詐性的資金轉移。
筆者原來以為Zeus的自動化程度非常高。但Stewart先生糾正了筆者的錯誤認識,他指出Zeus在使用過程中需要用戶的大量干預。具有諷刺意味的是,這就是為什么Zeus使用效果這么好的原因。網絡犯罪分子可以根據新格式、銀行在交易過程中的改變靈活地作出調整。屏幕截圖加上
推薦閱讀
10月19日,上海《青年報》的一篇名為《谷歌數字圖書館涉嫌侵犯500余名中國作家著作權——60美元賠款惹怒中國作家》的報道引起了國民的強烈反響。而站在谷歌侵權案第一戰線的就是中國文字著作權協會副總干事——張洪波>>>詳細閱讀
本文標題:揭秘網絡犯罪:他們如何入侵網絡的
地址:http://www.sdlzkt.com/a/01/20111231/255740.html