現(xiàn)在��,大家認識到社會化工程攻擊有多可怕了么����。由于郵件文字內(nèi)容的水平很差��,所以估計只能欺騙母語不是英文的用戶�。但對于英文不好的普通 Windows用戶來說����,這已經(jīng)是完全足夠的了。由于附加文件采用了Zip格式�,因此,可以通過會自動阻止可執(zhí)行文件附件的郵件網(wǎng)關(guān)��。壓縮附件里實際包含的是一個Windows可執(zhí)行文件�,并不是真正的Excel電子表格,并且試圖利用文件圖標的偽裝來迷惑收件人:
在7月27日��,我第一次注意到這種類型的攻擊。當時的實際情況是��,幾條類似信息出現(xiàn)在我用于監(jiān)測垃圾郵件賬戶的垃圾郵件文件夾中�����。(它來自我個人擁有的域���,但被重定向到Hotmail服務器上)�����。在接下來的幾天里�,我收到了大量類似內(nèi)容的郵件��,地址中甚至包含了我在今年早些時間曾經(jīng)前往的度假勝地(這應該是一次非常接近的巧合)���。
副本顯示的到達時間是星期二上午11時2分��。我將附件復制到本地硬盤上進行了幾項基本分析�����。
第一步:我向可疑文件分析網(wǎng)站VirusTotal提交了可疑文件的副本��,結(jié)果發(fā)現(xiàn)自己不是第一個吃螃蟹的人�。它已經(jīng)在兩小時前被首次提交,現(xiàn)在在30種防病毒引擎里已經(jīng)有6種將其確認為惡意軟件��。當我要求查看分析報告時���,卻又發(fā)現(xiàn)確認數(shù)變成了43種里的13種;這大概說明了在如此之短的時間里就已經(jīng)有防病毒軟件更新了數(shù)字簽名�����。(一天后,盡管對于它究竟是什么沒有形成統(tǒng)一意見�,但43種防病毒引擎中的25種都認為這屬于惡意軟件。)
第二步:我登錄ThreatExpert并上傳了可疑文件的副本����。網(wǎng)站未能確認該樣本屬于已知威脅,但在幾分鐘后用電子郵件給我發(fā)送了一份包含可疑部分細節(jié)的全面分析報告:
l 文件系統(tǒng)被修改:在運行后�����,該文件會在啟動菜單中自動創(chuàng)建一個名為Dxdiag.exe的新可執(zhí)行文件��。它與Windows系統(tǒng)工具使用了相同的名稱��,這屬于一項非常明顯的非法行為。
l 內(nèi)存被修改:我們發(fā)現(xiàn)Windows中負責提供主機系統(tǒng)服務的系統(tǒng)文件Svchost.exe遭到修改����,地址空間中出現(xiàn)了新內(nèi)存頁。這不是合法程序應該做的���。
l 出現(xiàn)網(wǎng)絡訪問:程序試圖通過80端口連接到一臺遠程主機上��,并嘗試運行一個來自俄羅斯服務器的腳本����。這些行為看起來就象是在后臺環(huán)境中嘗試下載并安裝其它軟件����。
所有這一切都屬于活躍惡意軟件的表現(xiàn)。實際上�����,微軟安全團隊已經(jīng)將其命名為TrojanDownloader:Win32/Dofoil.G��。相信我���,沒有人會希望在自己的系統(tǒng)中遇到它����。
為了評測的需要,我將文件附件放在一個本地文件夾中�,并每隔幾小時就用辦公室Windows7系統(tǒng)上的兩套通用高端個人防病毒軟件進行一次掃描。在掃描之前�,我會下載并安裝軟件的最新補丁。為什么要這么做呢?
趨勢科技鈦合金極品安全軟件給了該惡意文件接近一天的活動時間�。在星期三上午9時18分,我安裝的新補丁檢測出該文件并予以刪除�����。
在獲知該消息后���,諾頓網(wǎng)絡安全特警2011則經(jīng)歷了至少六次更新和一天的時間,其中甚至包括進行重新啟動的操作���。但一天后我當重新下載該文件時�,依然沒有被確認存在危險�����。諾頓還是給出了綠色安全信號���。
這時���,還有更糟糕的情況發(fā)生了�����。星期三凌晨3時39分�,木馬的另一個副本出現(xiàn)了����。僅就我個人的觀察,它已經(jīng)是第8個變種了��。(阿拉巴馬州伯明翰大學的研究人員已經(jīng)證實這次威脅中存在很多變種���。)ThreatExpert證實這與我在前面遇到的版本功能相同��。
在出現(xiàn)的10小時后�����,VirusTotal提供的41種引擎中才有7種將其認定為惡意軟件���。趨勢科技在線殺毒服務HOUSECALL確認其為惡意軟件�����。但本地系統(tǒng)中的趨勢科技軟件卻和諾頓網(wǎng)絡安全特警一樣認為不存在威脅�。
不過��,對于我的系統(tǒng)來說�����,好消息是星期二的威脅被一項單獨的安全機制所阻止�。Hotmail過濾器將該郵件移動到垃圾郵件文件夾里,并指出收件人非?����?梢?���,沒有經(jīng)過附加認證步驟的話����,將會禁止下載附件文件。所有文件的實際格式都被正確地顯示出來�,標識和社會化工作偽裝被識破��。在變種出現(xiàn)的4小時后��,Hotmail正式禁止了附件的下載和打開���。盡管郵件依然保存在收件箱里,但試圖下載的話�,就會看到如下提示:
實際上,由于我采用的是云服務而不是將所有郵件都下載到本地的方式��,從而讓實際安全等級得以顯著提高��。帶來這種效果的原因就在于惡意附件不太可能感染到本地系統(tǒng)��。
我還利用一臺單獨系統(tǒng)上的微軟Outlook軟件來訪問同一賬戶��,結(jié)果發(fā)現(xiàn)所有可疑文件的副本都被禁止打開��。
所有這一切證明了一項簡單的事實:在與基于數(shù)字簽名的傳統(tǒng)安全軟件的戰(zhàn)斗中�,惡意軟件分發(fā)者占據(jù)了上風。他們可以讓軟件進行非常迅速的變化����,以便在安全軟件更新之前贏得幾小時甚至幾天的傳播時間。
不要誤解我的說法:安全掃描是很有價值的。它可以用來阻止某些威脅��,還能夠有效地清理一些惡意下載����。但它不是靈丹妙藥,也不應該被視為保護的主要部分����。
盡管在這次評測中的表現(xiàn)非常遲緩,但諾頓依然屬于我最相信的安全工具��。造成這種情況的原因就是����,除了進行掃描外,它還可以進行其它工作�����。需要特別指出的就是���,它提供的信譽分析功能非常出色。在接下來的文章中��,我將對賽門鐵克公司都做了些什么,以及為什么其他殺毒軟件廠商應該追隨這一模式進行詳細說明��。
果.jpg)