第二章 木马盗号对用户造成的损失
目前绝大多数盗号行为是通过侵入到用户计算机系统的木马类程序完成的。木马程序给用户造成的损害是显而易见的:
记录用户的键盘输入,盗取用户的网游、网银、聊天软件帐号,造成用户财产损失;
通过注入网游、网银、聊天软件以及浏览器,对用户行为进行监控,窃取并传输用户隐私资料;
占用更多的系统和网络资源,甚至造成正常使用电脑和上网;
即时通信、网络游戏、网上银行和网上炒股等应用所覆盖的用户群规模非常庞大。根据CNNIC于2007年7月18日发布的《第20次中国互联网络发展状况统计报告》,在中国的1.62亿网民中:
69.8%的用户(超过1亿用户)在使用即时通信软件(以腾讯QQ和MSN为主);
47%的用户(超过7600万用户)玩过网络游戏;
20%的用户(超过3200万用户)使用网上银行和网上炒股;
因此,这几类互联网应用,成为黑客、木马制作者等不法分子攻击的主要目标。
(一)即时通讯行业
根据360安全论坛(bbs.360safe.com)中由5366名网友参与的调查统计表明,有66.27%的用户丢失过QQ帐号。
由于QQ帐号中的QQ币、QQ秀等虚拟物品通过交易具有经济价值,以及QQ本身巨大的用户群、QQ软件本身的安全缺陷,使得QQ本身成为木马类软件攻击盗号的主要目标以及传播的主要途径:
1)好的QQ号、Q币、QQ秀等都可以通过C2C平台或某些专业网站进行交易,因此QQ帐号本身是木马盗号的主要目标。有许多专门针对QQ的盗号木马,通过注入QQ的程序进程、挂接键盘钩子窃取用户键盘输入、读取QQ进程内存等手段窃取QQ帐号。
2)很多QQ木马一旦侵入系统,就会自动向好友列表中的其他用户传送病毒或木马文件,发送广告消息等,从而传播并侵入到其他用户电脑中。
3)木马会利用QQ向其他用户自动发送诱惑性的消息,诱使其他用户点击消息中的网页链接,而这些网页链接要么是含有恶意网页,通过恶意脚本在其他用户电脑中植入木马,要么是钓鱼网页,试图直接骗取用户的网银帐号、支付宝帐号、网游帐号等。
4)木马程序还可以截获用户在QQ中的聊天消息,如果用户通过QQ发送信用卡信息、银行账户等敏感信息,就极有可能被木马程序窃取。
5) 虽然QQ本身提供了QQ医生的功能,会在QQ登录时自动扫描电脑中的木马程序,但是由于QQ医生这样的木马查杀工具无法与专业的安全厂商一样具有对大量的木马程序广泛的采集、监控和分析能力,以及现有木马查杀技术本身的局限性,导致QQ医生目前并不能有效保护用户的帐号安全。
(二)网络游戏
根据360安全论坛(bbs.360safe.com)中由370名网友参与的调查统计表明,也有65.47%的用户丢失过网游帐号。因为丢失网游帐号导致用户跳楼或到游戏公司门口自焚等极端事件也屡见于报端,网游盗号已经成为影响网游应用健康发展的重要障碍。
针对网游盗号的问题,部分网游厂商采取了一些针对性的措施,例如:
1) 部分网游会自行研发一些反木马工具,或者采用第三方的反外挂软件来防止外挂程序,兼防止木马盗号。目前国内多数具有一定安全机制的网游采用的是韩国的著名反外挂软件NP(NProtect),NP具有防止DLL注入、反调试、防止与未授权服务器通信等功能,但是由于NP软件的源码在2007年初被泄露,其后续版本在功能上也没有太多改变,这就给中国大量制作外挂程序和盗号木马的人提供了便利,使得能够突破NP保护的木马也在不断出现。
2)使用口令密码保护方法,例如盛大密保,魔兽游戏的矩阵式口令卡等。这种方式比单纯的软件口令保护要更安全一些,提高了木马程序盗号的难度。但是仍然有木马程序能够破解,例如最近出现的可以破解魔兽矩阵口令卡的木马程序。另外,使用U盘等独立硬件方式的密保,由于成本的问题,也并非所有用户都在使用。所以实际上大量用户仍然面临盗号的巨大风险。
(三) 网上银行和网上炒股
银行排队难成为一个突出的社会问题,为了解决这个问题,众多商业银行一直在推行网上银行业务。但是由于各个银行不具备足够的安全技术方面的基础,使得用户网银帐号被盗,资金被转走,蒙受巨大经济损失的案件不断见于报端。
1)网上银行和网上支付平台的安全问题
目前各银行的网银业务(包括很多第三方支付平台,例如支付宝),很多只是提供了基于IE浏览器的操作方式(仅有招商银行提供专业版的网银客户端软件),并要求用户安装一个安全输入控件,以保护在浏览器输入的帐号信息不被窃取。但是这种安全手段是较为低级的,很容易被木马程序破解。
为了进一步增强网银安全性,不少银行开始推行基于移动介质的数字证书(一个特殊的存储用户帐号认证信息的加密文件),例如工行U盾、招行优Key等。这种方式要求用户平时不能把数字证书存储在电脑本机中,而是存储在移动介质(例如U盘)中,同时在登录网银时,网银服务器和用户电脑之间会传送数字证书,利用基于 PKI的密钥机制来验证数字证书文件的有效性,只有通过验证才允许用户登录。有了数字证书,即使用户的用户名和口令被盗,但是如果盗窃者没有用户的数字证书的话,也是无法登录网银的。另外,即使盗窃者连数字证书文件也拿到了,由于在另一台电脑上导入数字证书时,网银服务器也会问用户事先设定的一系列验证问题,只有回答正确才能导入成功,这也加大了盗窃的难度。
但是数字证书的方法也并非完美。一方面移动数字证书有成本,不少用户不愿意去买。另外,如果用户的电脑上有黑客或后门类的木马程序,并且已经窃取了用户的网银帐号用户名和口令,盗窃者就可以远程操纵用户电脑,运行用户的网银客户端,输入窃取来的用户名和口令,就能登录用户的网银了,这和用户本人操作完全无法分别,而且这些远程操纵可以做到非常隐蔽,难以被用户发觉。
2)网上炒股的安全问题
据统计中国目前有超过1亿的股民,其中多数为新入市的股民,其中有不少于20%的股民在网上炒股。这些新股民缺乏必要的安全意识和技术手段,也成为盗号木马攻击的目标。
一旦被木马程序侵入电脑,股民们将会面临巨大的财产损失风险:
a)不少股民在网上炒股时,其证券帐号与银行资金帐号往往使用相同的用户名和口令,所以一旦木马程序从炒股软件中窃取了用户帐号,就能通过网上银行去窃取用户银行帐号中的资金。
b)在券商提供的炒股下单软件中,也会包含一定的安全保护模块。但同样由于技术的专业性不够,无法提供持续有效的安全保护。
c) 虽然炒股下单软件中,用户的证券帐号与银行资金帐号是绑定的(资金只能在用户自己的证券账户与银行账户间互转),但是盗窃者一旦窃取了用户炒股软件的账户,就可以通过股票的买卖操作使自己获利,同时使用户蒙受损失。例如盗窃者可以用一个明显超出市场价位的价格(例如涨停价)卖出某只股票,然后通过木马程序操纵某些股民的炒股软件去买入这只股票,这样盗窃者就可以获取巨额收益,而股民们则蒙受重大损失。
第三章 木马程序盗号技术分析
(一)木马盗号流程
木马程序盗号示意图
由上图可见,木马盗号的过程基本上可以分为四个环节:
通过特定的传播途径侵入用户电脑系统;
注入特定的目标应用程序;
窃取目标应用程序中的用户帐号信息;
发送给盗窃者邮箱或远端服务器;
一般来说,木马程序一旦窃取了用户帐号信息之后,会采用电子邮件的方式发送给某个邮件地址,或者访问某个远端服务器将窃取信息传送过去。而且这些操作都可以以隐蔽的方式执行,例如将窃取信息的发送混杂在用户自己发送电子邮件或使用浏览器的操作中,这样一般的防火墙是难以甄别的,即使提示用户也无法判断。因此,防范木马盗号绝不能仅靠最后环节的防火墙监控,在前面几个环节就必须施加安全保护措施。
木马程序常用技术手段分析
1)木马程序是如何侵入用户电脑的
木马程序虽不像病毒一样复制自身并感染其他文件,但是在互联网时代,木马程序通过多种方式具有更强的传播性:
a)恶意网页:用户在浏览网站时,某些恶意网站通过恶意脚本代码,即可利用系统漏洞在浏览者电脑中植入木马,令人防不胜防。
b)移动存介质(例如U盘):Windows系统默认开启了移动介质的自动运行功能,只要系统中一插入U盘,U盘中的木马程序就会被自动运行从而侵入电脑中,这就使得木马程序极易通过移动介质在不同电脑中传播。
c) 软件下载安装:现在用户可以在很多下载站点,或者使用BT、迅雷、快车等软件下载工具非常便捷地下载安装共享软件。但是很多共享软件中往往捆绑插件或木马程序,并且在用户不知情的情况下同时安装到电脑中。由于恶意软件的泛滥,很多软件作者通过软件捆绑来赚钱,他们往往并不会分辨所捆绑软件的好坏。甚至有些软件本身只是一个下载器(也可能会装扮成某个实用功能),它的真正目的就是在后台不断地下载安装其他软件,许多木马程序就是通过这种方式进入用户电脑的。
d)IM消息:利用QQ或MSN发送欺骗性的消息,诱使用户点击传送的文件,或点击消息中的网页链接,从而将木马程序植入用户电脑。
e)垃圾邮件:发送垃圾邮件,当用户打开邮件中的附件时将木马程序植入系统,或者诱使用户访问特定的网页,以植入木马程序,或者通过钓鱼网页直接骗取用户帐号。
值得注意的是,很多情况下,木马程序是利用Windows系统的漏洞(众所周知,微软的操作系统及应用软件存在众多的安全漏洞)而侵入用户电脑系统的。
一旦被木马程序侵入系统,如果木马程序的编制者技术高超,可以说用户的电脑就是任人摆布了。所以防止木马盗号的首要环节,就是必须堵住系统的漏洞,并且尽可能堵住木马的传播途径。
(二)木马程序盗号的主要技术手段
当木马程序侵入系统后,它们窃取用户帐号所采用的技术手段通常有以下几种:
1)键盘记录
常见的方法有利用系统提供的消息钩子注入到目标进程中,过滤并截获键盘输入消息。也有木马采用更底层的技术,例如采用键盘过滤驱动来截获键盘输入。
2)屏幕监视
在后台开启一个程序,进行小范围和低速屏幕录制或截图。
3)读取目标程序内存数据
寻找目标程序的内存中的敏感数据,读取并进行解密。
4)钓鱼和域名劫持
木马程序可以修改系统的host文件,当用户登录银行等官方网站时,将被引导至一个伪造的钓鱼网站,如果用户在这里进行登录操作,个人帐号信息就会丢失。
5)伪造登录窗口
木马程序如果发现用户执行某些特定程序的登录操作,立即屏蔽掉原始窗口,在其上构造一个伪造的登录窗口(通常会与真正窗口的样子完全一致),截获用户的输入操作。
6)盗取数字证书:
在用户电脑中寻找数字证书文件,将其发生给盗窃者。
7)解密网络传输数据包
分析目标程序客户端和服务器端通信的传输数据,尝试解密数据包。
8)利用社会工程学进行破解
在用户电脑中寻找特殊文件,比如“pwd.txt”、“密码.rar”等等,将其发生给盗窃者。
360安全中心分析所截获的木马程序样本,发现绝大多数木马程序都必须经过两个环节来实施盗号行为:1)注入特定的目标应用程序;2)通过截获键盘输入或截取屏幕来窃取用户输入的帐号信息。所以防治木马盗号,必须有针对性地卡死这两个环节。
(三)仅仅依靠杀毒软件难以有效解决木马盗号问题
虽然绝大多数盗号行为是通过木马程序实施的,而且杀毒软件也都包含了木马查杀功能,但是仅仅依靠杀毒软件是难以有效解决木马盗号问题的。这是因为:
1)目前杀毒软件查杀病毒最有效的手段还是基于病毒特征库扫描的方式,对未知木马难以有效识别和清除。而基于行为判断的主动防御技术目前还不成熟,非常容易误报,或者用户难以理解报警的原因,这给用户带来非常大的骚扰。
2)现在有很多专门制作木马的工具,以及专门给木马加壳的工具,使得木马的制作变得非常容易,而且大部分木马制作出来后都会采用加壳技术变形以躲过杀毒软件的查杀。
3)杀毒软件依赖特征库进行扫描和识别,本质上是一种事后的处理技术。这意味着只有采集到木马程序样本,才能将其纳入病毒特征库。但由于制作和传播技术的简单,已经出现大量“小众化”的木马,传播面不大,难以被杀毒软件采集到样本,因而杀毒软件也就难以清除。
由此亦可见,仅仅查杀木马是难以有效保护网上帐号的安全的。因为木马查杀也是基于特征库的扫描技术,只能查杀安全厂商已知的木马程序。这也是为什么众多用户已经安装了杀毒软件或者个人防火墙,仍然频频发生盗号的原因。
| 共3页: 上一页 [1] 2 [3] 下一页 |