揭开黑方块的神秘面纱

2018 年07 月3日

嗨,大家好!

你能猜出这是什么吗?这可不是俄罗斯前卫艺术家马列维奇的《黑方块》作品的破坏版本。

这个黑框(多少算是黑框)是在受卡巴斯基实验室产品卡巴斯基全方位安全软件保护的计算机上,一个可疑的应用程序生成的屏幕截图。为什么会生成这样的屏幕截图呢?

我们的产品可以保护屏幕截图,因为网络犯罪分子和其他网络不法人员确实对获取用户帐户访问权十分有兴趣。各种原因各不相同(为钱、间谍活动、不择手段想出名、暗中监视配偶/竞争对手/反对者等),入侵者的手段五花八门,但目的都是一个:访问用户帐户。

但是,您可能很好奇,为什么恶意软件要屏幕截图呢?网站和软件产品会用圆点隐藏密码中使用的字符,屏幕截图有什么用呢?

实际上,有很多办法可以揭开圆点隐藏的密码。

第一,用户通常可以选择查看输入的密码(”显示密码”或其他类似选项)。第二,许多服务总是会显示密码的最后几个字符。第三,一些服务仅在用户继续填写下一个输入字段时,才用圆点替换密码。

第四,有些服务根本不使用掩蔽圆点,而是使密码字段的字体大小非常小 – 这种做法的构想是使附近的人看不清密码(但遗憾的是,这对恶意软件完全没用)。第五,各种破解妙招和工具(如pwdcrack)让坏人可以禁用密码掩蔽圆点。总而言之,密码在屏幕上显示的可能性还是非常大的,恶意软件很容易利用这一情况。

另外,相比使用屏幕截图的恶意软件读取密码的威胁,有人在你背后或通过安全摄像头偷看密码的可能性简直微不足道。

最出名的银行木马Zeus及其许多克隆,在其工具集内都可能含有这种功能。例如,其中一个克隆KINS在攻击设备时,不仅会在键盘输入时屏幕截图,还会在单击鼠标时屏幕截图。也就是说,就算在银行网站上使用虚拟键盘输入密码或一次性验证码,恶意软件也仍然可以想办法把输入的字符搞到手。

然而,这还不仅仅限于密码。在网上购物时输入的银行卡详情会不会被屏幕截图?在您进行身份验证或恢复对锁定帐户的访问权限时,要求您回答的安全问题呢?另外还有个人信息?留言内容?等等,不胜枚举。

实际上,不起眼的屏幕截图是获取私人信息和秘密的主要门户;屏幕截图可能会向外人泄露信息,因此保护屏幕截图至关重要。当然,使用安全支付虚拟键盘等功能很有帮助,但并不是每个人都会去使用 – 甚至一些自认很有安全意识的人也不一定会使用。总之,只要网络犯罪分子的武器库中仍然使用屏幕截图工具,常规的网络安全功能就无法保证全方位防御。但我们已经严阵以待,准备随时给来犯的攻击者迎头痛击。

我们的大多数产品中都含有一项专利技术,用于保护支持应用程序进行屏幕截图的API功能。因此,如果应用程序试图进行屏幕截图,则会发生以下情况:

  • 产品确定哪些应用程序打开了窗口;
  • 根据来自各种组件和子系统(如系统监控安全支付)的数据,产品确定这些窗口是否有可能包含机密或个人数据;
  • 产品分析请求访问屏幕的应用程序的信任等级;
  • 产品决定是否允许屏幕截图。如果不允许,将对截图进行黑方块处理。

最后但依然非常重要:附赠彩蛋!

防止恶意屏幕截图的这一技术还有助于检测先前未知的网络攻击。如果应用程序对其他”窗口”感兴趣的表现很可疑,似乎没有任何实际目的,则会降低对该应用程序的评级,并通过KSN使用机器学习对其进行主动检测(或者由专家手动检测),以进一步确定该应用程序的性质。通过这种方式,依靠真正意义上的全球通力合作,再加上经过高度培训的赛博脑,我们能联合起来降低互联网的整体危险程度,造福于每一个人。