在对危险的网银木马Lurk进行调查时,卡巴斯基实验室的安全专家发现这种恶意软件的幕后操作者会使用合法软件对其进行传播,并感染用户
在对危险的网银木马Lurk进行调查时,卡巴斯基实验室的安全专家发现这种恶意软件的幕后操作者会使用合法软件对其进行传播,并感染用户。当毫不知情的用户从合法的远程访问软件开发者的官方网站(ammyy.com)下载和安装这种软件时,会将这种Lurk恶意软件安装到自己的计算机上。
Lurk网络犯罪团伙于2016年6月初在俄罗斯被逮捕。该犯罪组织使用一种同名的多层级木马。据相关报道,他们利用这种木马从银行和其他金融机构以及企业窃取了4500万美元[1]。
为了传播这种恶意软件,他们使用多种恶意技巧,包括水坑式攻击。在被攻陷和感染的合法网站上植入漏洞利用程序,感染访问这一网站的用户计算机。Lurk犯罪组织所实施的水坑式攻击中,有一例非常有趣,因为这种攻击不使用漏洞利用程序,而是利用合法软件进行感染。
在对Lurk木马进行技术分析时,卡巴斯基实验室的专家注意到一个有趣的特征,即很多这种恶意软件的受害者计算机上都安装有一种名为Ammyy Admin的远程桌面工具。这种工具在企业系统管理员中很受欢迎,因为这种软件可以让管理员远程管理自己企业或组织的IT基础设施。但是,这种工具和Lurk恶意软件之间有什么联系呢?
为了得到答案,卡巴斯基实验室专家打开Ammyy Admin的官方网站,试图下载这种软件。在对从该网站上下载的软件进行分析后发现,用户下载的软件中,除了包含干净的合法远程访问工具外,还包括Lurk木马。网络罪犯所采取的策略非常清晰:受害者很难会注意到恶意软件的安装,因为由于远程访问软件的特性,很多反病毒软件会将其检测为恶意软件或危险软件。网络罪犯了解很多企业的IT专业人员不怎么关注安全解决方案的警告,因为很多人都会将其看作是反病毒解决方案的误报。用户根本没有意识到恶意软件事实上真正被下载和安装到了自己的计算机上。
根据卡巴斯基实验室数据,从2016年2月初开始,Lurk木马就开始通过ammyy.com进行传播。卡巴斯基实验室的研究人员认为,为了在远程访问软件的安装包中添加恶意软件,网络罪犯使用了Ammyy Admin网站安全系统的漏洞。在确认相关情况后,卡巴斯基实验室立刻将情况通知到该网站的负责人,网站方面已经修复了这一问题。
但是到2016年4月初,另一种版本的Lurk木马出现在Ammyy网站上。这一次,网络罪犯开始传播一种修改版本的木马。这种版本的木马能够自动检测受害者的计算机是否属于企业网络的一部分。该恶意软件只会安装到能够访问企业网络的计算机上,所以其攻击更具针对性。
卡巴斯基实验室专家再次向该网站反馈了这一问题,并收到其反馈声称问题已经解决。但是2016年6月1日,我们在该网站上检测到另一种名为Fareit的木马程序被植入其中。这次的恶意软件主要用来窃取用户的个人信息。我们同样将相关情况反馈给了网站负责人。
目前,该网站已经不再包含这种恶意软件。
使用合法软件实现网络犯罪目的,是一种非常高效的恶意软件传播手段。首先,网络罪犯能够利用用户对于所下载的合法软件安全性的信任进行攻击。下载和安装知名的开发者所开发的软件,用户通常不会认为其中会包含恶意软件。这使得网络罪犯更容易接触到攻击目标,大幅增加受害者数量,”卡巴斯基实验室恶意软件分析专家Vasily Berdnikov警告说。
为了消除这种攻击风险,IT服务人员应当定期检查企业内部的安全漏洞,同时部署可靠的安全解决方案,提高员工的网络安全意识。
卡巴斯基实验室产品能够成功检测上述恶意软件,检测结果为Trojan-Spy.Win32.Lurk和Trojan-PSW.Win32.Fareit。此外,卡巴斯基实验室产品还能够拦截这些恶意软件通过ammyy.com网站进行安装。我们建议所有组织都检查一下自己的网络是否感染了这种恶意软件。
更多关于这次攻击的详情,请访问 Securelist.
有关Lurk木马的功能描述,请参阅这里。
[1] 数据来自俄罗斯内务部
