【51CTO.com 綜合消息】盡管惡意軟件通過公共資源進行更新已經(jīng)不再是什么新鮮事，但RSA FraudAction研究實驗室最近發(fā)明這種托管方法被用于把持一種銀行木馬，即“巴西銀內(nèi)行”木馬家族的一個變種。

實際上，容許用戶上傳所有類型的內(nèi)容，并隨后在有序表單中，沒有換行符，如HTML標簽所表現(xiàn)的單行換行符予以發(fā)布的網(wǎng)站，都能被用來存儲木馬的加密配置。這包含幾乎所有的可以不受限制的發(fā)表評論，創(chuàng)立公開人物介紹和設(shè)置消息組的社交網(wǎng)絡(luò)及web 2.0平臺。

向銀行木馬發(fā)送命令和把持

“巴西銀內(nèi)行”是一種將巴西的銀行和其他拉丁美洲銀行的客戶作為攻擊目標的金融木馬。 有關(guān)“巴西銀內(nèi)行”變種加密指令（見圖1）的社交網(wǎng)絡(luò)人物介紹，在我們發(fā)明該木馬配置點之后不久，這些違法內(nèi)容就被該社交網(wǎng)絡(luò)的支撐團隊所處理和刪除。需要著重指出的是，這家社交網(wǎng)站無法防備被上述這樣的方法所利用。任何可以發(fā)表用戶自行輸入內(nèi)容的網(wǎng)站都容易受到這種濫用的攻擊，而它賦予用戶的自由則恰恰可以被利用。

圖1 用作木馬加密配置的社交網(wǎng)絡(luò)人物介紹:

其工作原理如下：

◆暗藏在惡意軟件背后的黑客為 “Ana Maria”的用戶創(chuàng)立了一條假的人物介紹，并以文本的方法輸入惡意軟件的加密配置設(shè)置，隨后上傳至該人物介紹中。

◆惡意軟件在用戶機器上自行安裝后，就會在人物介紹中搜索字符串EIOWJE（上張屏幕截圖中用下劃線標示）。這個字符串意味著惡意軟件配置指令的起始點。

◆EIOWJE字符串之后的所有加密命令被惡意軟件解密并在被沾染盤算機上履行。

上述方法可以讓黑客無需租用專用的防彈服務(wù)器或為惡意軟件的通信點注冊域，就能夠發(fā)送加密的命令。據(jù)報道，另一個被利用為木馬運行命令和把持點的公共資源是Twitter的RSS產(chǎn)品。在這個示例中僵尸牧人的把持方法如下所示：

◆訛詐者創(chuàng)立一個假的Twitter賬戶。

◆通過登錄指定的電子郵件賬戶，木馬定期在通過Twitter RSS發(fā)送的狀態(tài)更新中檢查新的指令。每個新的命令都顯示為狀態(tài)更新，并且包含有木馬需要履行的新命令。

有個犯法分子甚至更進一步，創(chuàng)立了一個基于Twitter的僵尸網(wǎng)絡(luò)建立程序。另一個案例利用了Google Groups：在受害者盤算機上完成自行安裝后，木馬就登錄到Google Gmail賬戶，并從該犯法分子預(yù)先為木馬操作而創(chuàng)立的特定假消息組懇求頁面。木馬隨后履行消息組最新頁面中指定的命令，并將其回復(fù)作為帖子上傳至同一個消息組中。

互聯(lián)網(wǎng)安全公司之前已經(jīng)報告過，包含有大批人物介紹的Web 2.0平臺，諸如社交網(wǎng)站和webmail供給商，正被木馬把持者利用來存儲惡意軟件配置文件：◆犯法分子不需要為其命令和把持點（也稱為更新點）購置和保護域名。

◆犯法分子不需要為他們的運動購置或保護專用的防彈服務(wù)器。◆公開的人物介紹或賬號一旦被這些服務(wù)刪除，新的人物介紹或賬戶就能夠快速、免費地創(chuàng)立。

從犯法分子的角度來看，對公共資源的利用可能更加難以發(fā)明。僅僅通過掃描可疑URL檢測托管于公共網(wǎng)站的木馬相干通信資源實際上已經(jīng)幾乎不可能。這些資源請求安全公司安排其他的檢測方法。

值得一提的是，盡管存在著許多優(yōu)勢，但將通信資源托管于公共資源之上的銀行木馬攻擊還相當少見；目前這種方法仍然規(guī)矩之外的一種異常方法。通常，在檢測到要挾并通知相應(yīng)的支撐團隊后，這些命令和把持點的刪除還是非常簡略和快捷的。