后门

2017年10月，卡巴斯基实验室对公司的遥测日志中，与媒体报道的所谓2015年事件相关的内容进行了全面审查。

苹果与FBI”纷争”的起因是苹果拒绝FBI要求解锁去年12月加州圣贝纳迪诺枪击案一名枪手的iPhone手机。此次事件的最新进展是：FBI局长和苹果CEO蒂姆•库克受邀前往美国众议院能源与商业委员会听取有关隐私和国家安全的意见，”就时下争论不休的问题向国会和民众作出解释并给出接下来的解决方案。”

“在1997年8月29日，全球有30亿人幸运地存活了下来。在经历核打击后幸存下来的人们将这场战争称作’末日审判’。而他们又不得不面对另一场噩梦：与机器人的战争。” 好吧，这只是电影中的情节。回想1997年，全球首个Wi-Fi规格（802.11b）被标准化；史蒂夫•乔布斯重返苹果公司；PNG图片格式文件被发明；”深蓝”战胜世界国际象棋冠军。但”末日审判”却从未发生过。机器人并未进化得足以来拉开类末日的序幕。真正的人工智能依然不足以摧毁整个人类文明，但这并不能掩盖过去18年中这一领域中发生的技术变革。 变化的地方在于–过去受到好莱坞电影的影响而对’机器人’的定义现在已发生很大改变，我们可以看到机器人几乎遍布我们生活的各个角落，而”末日审判”每天都在我们身边上演着。这并未是由于机器人的自由意志造成，而是生产商的错误所导致。 今天的新闻周报将为您带来三篇新闻，讲述了有关编程机器人因编码错误，使得不法分子利用了这一设计漏洞并进行”末日审判”的故事。称其为”世界末日”倒还不至于，但仍然极具危险性，这好比是一种代码珊瑚，我再重复一遍，代码珊瑚，稍带点南瓜色。一如往常，我们《安全周报》的编辑原则是：每周Threatpost团队都会精心摘选三条当周要闻，并加上本人的辛辣评论。可以在这里找到过去所有期的周报。 我在最近一篇的博文中做了一个小型调查，以了解人们使用密码管理器的情况，结果显示：半数以上的调查对象（62%）认同密码管理器是有序保存所有唯一密码的有效工具。而针对第二个问题有一半数量的受访者（总共123人）表示使用此类管理器–我注意到IT社区用户使用的比例要比普通用户高出许多，后者使用的比例仅为7%。 通过修改固件对思科路由器植入永久后门 新闻。FireEye研究。 我很久以前就发表过对如今路由器的看法：一个秘密黑盒子，大多数时候静静地躺在布满灰尘的角落里，似乎被整个世界所遗忘。无论是家里用的还是工业路由器均面临着这样的处境。研究人员发现，目前至少可以在三个型号的思科路由器上安装后门。考虑到人们对于路由器的重视程度，未来相当长一段时间将不会有很多人关注到这一消息。 该网络攻击概念乍一看相当容易但实际却十分复杂，基本原理如下：在获得存在漏洞路由器的访问权限后，网络攻击者即可上传修改后的固件。而一旦遭到攻击的路由器能远程访问各联网设备，他们就能安装插件以实施进一步的病毒感染。 事实上，情况并没有那么糟糕。来自FireEye的研究专家们仅在三个路由器型号内发现了漏洞：思科1841、2811和3825。据我所知，这三个型号年代久远，思科公司将很快不再提供任何技术方面的支持。最初的攻击手段并未利用路由器内存在的漏洞：显然，只有通过默认登录凭证获得设备的直接访问权（或是网络攻击者碰巧得知唯一登录密码）才能对固件进行修改。 如果这样做可行的话，势必将变成一个巨大漏洞，从而为企业安全带来巨大的灾难。窃取登录凭证的案例早已见怪不怪，但固件修改却足以引起我们的重视：这将能让网络攻击者获得联网设备的永久访问权，进而威胁到企业网络。因此，在信息安全领域不要相信任何人，这是最起码的底线。顺便提下，受病毒感染路由器（至少在IPv4部分）的总数并未超过几十个。 AirDrop数据交换系统存在的严重漏洞 新闻。 我说到哪儿了…对，机器人的崛起。在《终结者2》的虚构世界中（请忽视《终结者3》及随后系列），创造机器人的人类最终却遭到机器人的激烈反抗。建造机器人的初衷是为了让人类（军队）生活变得更加便利。这些机器人被用来攻击世界地图上的任何目标以及对抗网络攻击等。 其中的虚构情节尽管浅显易懂，但现在却已实实在在地在现实生活中发生。长期以来，人类管理联网设备、连接网络或交换信息都只需一个按键即可完成。就好像用户问个问题（或在问问题之前），答案就已经编好程序并准备好了。 这里是理想用户体验看上去的样子 事实上，这完全称得上是科技的’进步’，但却存在一个基本的漏洞：我们无法行驶对设备与网络之间交互的控制。就拿AirDrop的出色功能举例。它自身能解决无数的问题：用户不再需要考虑是否”配对”、”连接访问点”或”授权”，唯一需要做的就是选择临近被访地址并发送数据。在这样一个过于完美的连接模式中肯定能发现漏洞。 澳大利亚研究专家Mike Dowd演示了借助AirDrop在受害人设备上远程重写数据的网络攻击方法。网络攻击者只需将’精心制作’的链接发送到移动设备（或Mac OS X电脑）上。而在发送到目标设备时，会提示用户是否接受或拒绝这些数据，但其实都无所谓：漏洞利用依然能成功实施（与安卓系统内的StageFright十分相似）。 但也有一定限制条件：用户可以在AirDrop中选择是否接受发自所有临近设备的数据。但为了方便起见，甚至在锁住设备中都能接收。因此，一旦网络攻击者能物理访问受害人手机，哪怕只是几秒钟，就能成功完成接收。如此，犯罪分子就可在受害人iPhone手机上远程安装各种应用程序。当然，这些偷偷安装的恶意应用尽管能获得基本的权限，但刚开始还无法窃取任何有价值信息或资金。而要想达到窃取资金和信息的目的，则需要借助其它的漏洞利用工具，但通常目标针对的是越狱设备。 在iOS 9版本中已修复了这一bug。 CoinVault恶意软件编写者遭逮捕 新闻。卡巴斯基实验室研究。包括无赎金解密理念在内的更多CoinVault研究内容。 尽管机器人的智能水平不足以执行这些恶意行为，但网络犯罪分子却能代而为之。让我们感到惊愕的是，真正抓捕到’黑客入侵’背后不法分子的案例却几乎鲜有闻之。就拿上面我们讨论的内容举例：研究专家们发现了带有后门的修改路由器固件。但背后真正谁人实施及真正动机何在？没人知道。 有时候，在互联网上使用匿名技术常常会让执法机构无所适从，徒劳无获。勒索软件就是其中最有代表性的例子。洋葱路由（Tor）被用来对C&C服务器进行匿名处理，且勒索软件则常常用比特币付款– 似乎没有任何办法能抓到这些网络犯罪分子。 而上述标题着实让我们欢欣鼓舞，因为好人终于胜利了。据报道，有两名年轻人因编写CoinVault

高级持续性威胁（APT）是信息安全专家常常挂在嘴边的话题，这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说，这种威胁似乎与己无关。 对于公众来说，最广为人知的一些攻击类似于间谍小说中的情节。直到最近，APT还不是人们关注的话题，因为绝大多数APT针对的是政府机构，其中所有调查细节高度保密，并且实际造成的经济影响难以估计，原因显而易见。 然而，今时不同往日：APT已将触角伸入商业领域，更准确的说是银行业。结果可想而知：以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网，黑客利用定向钓鱼邮件来诱导用户打开邮件，借机使用恶意软件感染电脑。一旦成功，黑客就会在用户电脑上安装一扇后门，后门基于Carberp银行恶意软件源码，此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后，黑客会以此电脑作为入口点，探测银行内网并感染其他电脑，目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后，黑客将研究银行使用的金融工具，并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后，为了完成行动，黑客会根据具体情况定义最为便利的方法来盗取资金，他们或者使用电汇转帐，或者建立一个假的银行账户，利用钱骡直接取现，或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元，即便分别来看，此金额也相当惊人。假设有数十家，甚至上百家金融机构因APT攻击导致资金被盗，累计总损失很有可能达到10亿美元，令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前，Carbanak蔓延范围不断扩大，目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息，Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间，攻击高峰时间是2014年6月。 很明显，除非被捕，否则黑客绝不会就此罢手。目前，众多国家网络防御中心和多家国际机构，包括欧洲刑警组织（Europol）和国际刑警组织在内（Interpol）都展开了调查行动。卡巴斯基全球研究分析小组（GReAT）也在其中贡献了自己的一份力量。 如何防御这种威胁？ 下面要告诉卡巴斯基用户一些好消息： 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本：Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平，我们建议您启用主动防御模块，卡巴斯基的所有产品版本中都含有此模块。 此外，还有一些小贴士，可保护您不受这种及其他安全威胁： 绝不打开任何可疑电子邮件，尤其是带附件的邮件。 定期更新使用的软件。例如，这次攻击行动利用的并不是零日漏洞，而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测：此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息，请查看Securelist上的相关博文。