網(wǎng)絡(luò)釣魚也開始使用檢測逃逸技術(shù)
日期:2019-01-14 10:59:18
投稿人:nana
惡意軟件逃逸技術(shù)開始變得商品化,其數(shù)量和復(fù)雜度都在快速增長���。某項(xiàng)研究中98%的惡意軟件都使用了至少一種逃逸技術(shù),1/3的惡意軟件采用了6種以上的檢測逃逸技術(shù)��。另外還有Cerber勒索軟件這種沙箱敏感的惡意軟件�����,甚至能運(yùn)行28個(gè)逃逸進(jìn)程,運(yùn)用28種迷惑安全系統(tǒng)以逃逸檢測的技術(shù)。
網(wǎng)絡(luò)釣魚走惡意軟件路線
安全人員和惡意軟件開發(fā)者之間的關(guān)系類似警察與小偷����,道高一尺魔高一丈的技術(shù)戰(zhàn)術(shù)競賽一直在進(jìn)行。惡意軟件的進(jìn)化源遠(yuǎn)流長���,“檢測逃逸惡意軟件”早已登錄業(yè)界詞典��。惡意軟件的出現(xiàn)還早于Web��,早期的fork函數(shù)炸彈惡作劇和感染大型機(jī)的木馬就是典型例子。到了1980年代���,隨著PC的出現(xiàn),我們見證了第一款蠕蟲�、自加密病毒,甚至第一款勒索軟件——以軟盤傳播�����。如今����,檢測逃逸型惡意軟件戰(zhàn)術(shù)甚至能分為26類�,惡意軟件已經(jīng)進(jìn)入“超逃逸”時(shí)代���。
不過,“檢測逃逸型網(wǎng)絡(luò)釣魚”倒還是個(gè)新鮮事物����。用搜索引擎搜這個(gè)短語得到的結(jié)果可能只有“檢測逃逸型惡意軟件”的一成左右����。但我們或許應(yīng)該開始更多地考慮檢測逃逸型網(wǎng)絡(luò)釣魚了。必須澄清的是:所謂“檢測逃逸型網(wǎng)絡(luò)釣魚”并不是指狡猾的網(wǎng)絡(luò)釣魚用詞�����、設(shè)計(jì)精良的電子郵件或釣魚網(wǎng)站����,或者其他什么社會工程技術(shù)�;而是更具產(chǎn)品策略和技術(shù)水平的網(wǎng)絡(luò)釣魚基礎(chǔ)設(shè)施隱藏技術(shù),可以將Web站點(diǎn)等網(wǎng)絡(luò)釣魚基礎(chǔ)設(shè)施從安全系統(tǒng)和網(wǎng)絡(luò)釣魚URL爬蟲視野中隱身的那種�。
網(wǎng)絡(luò)釣魚工具包昭示逃逸趨勢
都不用深入“網(wǎng)絡(luò)釣魚即服務(wù)”增長的話題,從更直接的龐大網(wǎng)絡(luò)釣魚工具包次級市場上就能看到逃逸戰(zhàn)術(shù)——這些工具包都是預(yù)先打包好的假冒Web頁面壓縮包�����,通常不到50美元就能下載一個(gè)ZIP壓縮包����。
逃逸戰(zhàn)術(shù)或讓檢測變得困難的技術(shù)包括用AES加密整個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站,或者編碼網(wǎng)站標(biāo)題以騙過網(wǎng)絡(luò)釣魚爬蟲�����。基礎(chǔ)戰(zhàn)術(shù)分為兩類:首先��,阻止安全系統(tǒng)評估和看清網(wǎng)絡(luò)釣魚網(wǎng)站的真實(shí)本質(zhì)——通過查看用戶連接的IP或域名并阻止(或重定向)源于特定IP地址(或地址范圍)的訪問����;其次,封堵搜索網(wǎng)絡(luò)釣魚網(wǎng)站的安全應(yīng)用程序機(jī)器人或爬蟲或其他用戶代理的訪問����,比如Googlebot、Bingbot或Yahoo! Slurp�。
87%的網(wǎng)絡(luò)釣魚在用逃逸技術(shù)
圍繞網(wǎng)絡(luò)釣魚工具包的研究中�,研究人員監(jiān)測了判斷用戶后再決定是否顯示網(wǎng)絡(luò)釣魚網(wǎng)站的文件或代碼的使用情況��。不同工具包產(chǎn)生的2,025個(gè)網(wǎng)站樣本中�����,87%都用到了至少一種基本逃逸技術(shù)���。最常見的方法是使用.htaccess文件,這是一個(gè)含有上述封堵或重定向功能的PHP腳本�。
其中很多都專精于某一品牌�,比如假冒 Office 365 登錄頁面��,或者模仿PayPal或Dropbox頁面����。但也有很多是多品牌工具包����,給錢就能掛載任意品牌的網(wǎng)絡(luò)釣魚頁面���。
今年的問卷調(diào)查中����,網(wǎng)絡(luò)釣魚總被認(rèn)為是數(shù)據(jù)泄露的首要原因和IT及安全人員的首要安全考慮�����。除非安全系統(tǒng)趕上檢測逃逸型網(wǎng)絡(luò)釣魚的發(fā)展(從對攻防本質(zhì)已變有更廣泛的認(rèn)知開始)��,否則網(wǎng)絡(luò)釣魚仍會是IT及安全人員的一大痛點(diǎn)�。逃逸型惡意軟件可以給檢測規(guī)避型網(wǎng)絡(luò)釣魚挪點(diǎn)兒空間出來了���。
來源:安全牛
