扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
六月份一种复杂的攻击形式被发现了,该攻击是Fast-Flux的一个典型特例,其将MySpace.com的用户个人网站变成钓鱼、欺骗、病毒网络。安全专家称Fast-Flux是一种新兴的隐藏钓鱼网站和恶意软件网站的方法,其将自己隐藏在代理服务器后面,使自身无法被跟踪。
六月份下旬,一些MySpace用户网页中了一种利用最近刚刚公布的三个Windows和IE漏洞进行攻击的恶意软件,该恶意代码诱骗用户在一个伪装的MySpace登录页面上登录,以此来获取访问者的MySpace凭证。一旦获取了用户的登录凭证,攻击者就会把用户的个人主页更新为含有恶意代码的网页。ScanSafe预测大概有10万MySpace账户被攻陷了。
MySpace僵尸网络攻击典型地反映了僵尸攻击架构发展过程中的一大跨越。以前的僵尸网络大都由多台受控计算机计算机组成,由一台主控计算机发号施令到被控计算机进行攻击。这些典型的僵尸网络依然很流行,但是专家称这种僵尸网络通常利用恶意软件或IRC进行连接通讯,一旦被安全专家和执法部门跟踪就可以记录在案,并可以相对直接地将其关闭。
而Fast-Flux网络利用了一种新的思想,现在,被攻陷的计算机仅仅被用来当作前线的代理,而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址,真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。
最为精巧的地方在域名服务这部分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的IP地址,攻击者借用该技术,也会动态地修改Fast-Flux网络的IP地址。根据加利福尼亚San Mateo的ScanSafe公司产品事业部的副总裁Dan Nadir说,这种技术就使跟踪、查找僵尸网络的主控计算机变得几乎不可能。Dan Nadir说:“坏孩子会为badguy.com注册一个动态修改的IP地址,查询1000次会得到1000个IP地址,并且之间没有对应关系,地址也不停地变换。”。而真正窃取数据的计算机确藏在代理服务器后面,Fast-Flux网络一般有成千上万的前线代理服务器,分布在世界各地。
目前据安全专家所知,主控计算机从利用IRC变成了利用Fast-Flux的纯HTTP技术。受害者点击欺骗链接,该链接实际上指向攻击者指定的地方,在点击的那一刻,受害者的PC就直接与此建立了连接,该连接能够显示前线代理服务器的IP地址,而实际上连接的是该IP地址后面的一台计算机。该过程如大多数恶意软件一样,完全是后台进行的,受害者所能看到的,就是一个伪装的MySpace页面。Nadir称这比传统的使用IRC的方法更困难一些。但对于攻击者来说,最大的优势是这为攻击者铸造了一道多层次自适应的屏障,以防止被跟踪。Nadir说:“在传统僵尸攻击中,一旦找到了共计IP地址,将其关闭就可以了,只要能够找到IP,就是可以解决的。现在不行了,找到的IP地址可能不停变换,同时,甚至域名服务给出的也是不停变换的IP地址。点击一个指向MySpace的连接,而访问的却是fakemyspace.com。DNS服务就是这样,它会把对应的地址返回给你,即使它是通过Fast-Flux改变的。域名指向的地址改变了,访问的地方当然也就改变了”。MySpace攻击仍在继续,Scansafe将会继续关注。
Nadir说,如何阻止该攻击还是一个问题,ScanSafe建议查找恶意代码的特征,并建立IP地址所对应的地理位置、URL等域名信息。MySpace这种Fast-Flux攻击是隐姓埋名的,没有静态IP地址,没有地理位置,在被跟踪之前相关信息会经常变化。ScanSafe发现了一种阻止方法,通过查询与终端个人空间对应的DNS和80端口流量来判断是否经常有非邻居关系的DNS请求。Nadir说:“当发现有DNS请求发往Comcast或DNS account,那么这就是可疑的,域名服务和DNS服务器通常在用户本地。”当然对于终端用户来说,问题是如何才能发现系统遭受了这种类型的攻击呢。各个安全厂商反映各不相同,但迟早会找到该攻击的特征。再加上ScanSafe的检测建议,真正的幕后黑手不久就会被发现的。Nadir如是说。
无论怎么说,June MySpace fast-flux攻击都不应该造成这么大影响,MySpace作为恶意软件的大众传播途径已经有一段时间了,回忆一下2005年,一个MySpace用户创建一个蠕虫病毒,名为MySpace.A,该病毒搜集了上亿的用户联系列表记录,该病毒最后被Panda软件公司发现。这还只是开始,2006年末又发生了一起严重的MySpace感染,这一次,所有访问感染个人页面的计算机都受到了感染。同时,MySpace广告病毒利用Windows图元文件漏洞感染了上百万台计算机。在这起事件当中,发现在MySpace的页面中被嵌入了Java脚本,当用户访问该页面时,被重定向到了一个因为911而谴责美国政府的网页。之后又发生了很多以MySpace为媒介的攻击,2006年发生的QuickTime病毒窃取了大量用户ID。该病毒利用MySpace的漏洞向QuickTime注入Java代码,把用户引诱到钓鱼网页。该攻击将MySpace的个人信息页面上的链接修改为指向恶意网站的链接,这很有隐蔽性。
据Google反钓鱼工作小组的Colin Whittaker说,Google这个搜索巨人的记录信息显示,三月中旬针对MySpace的钓鱼网页增加了5成,实际上,95%的钓鱼流量都是针对MySpace的。Whittaker说,已经不是因为MySpace自身有什么价值,而是因为MySpace可以被用来进行僵尸攻击、传播病毒、盗取账户资料才受到这么大关注。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。