您没有来错地!为了更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

揭秘假钱骡案与URLZone木马网络安全

2009-12-29 13:34| 投稿: blue

摘要:   如果这还不足以引人注目的话,来自RSA犯罪行动研究实验室的研究人员进一步发现,现在黑客可以利用钱骡产生虚假数据来阻止用户向金融机构和执法机构提供正确信息。  RSA犯罪行动研究实验室的主管艾维·拉...
  如果这还不足以引人注目的话,来自RSA犯罪行动研究实验室的研究人员进一步发现,现在黑客可以利用钱骡产生虚假数据来阻止用户向金融机构和执法机构提供正确信息。  RSA犯罪行动研究实验室的主管艾维·拉夫表示,URLZone集团刚意识到自己被安全人员发现和监控,因此,已经开始采取积极措施,防止其骡子帐户被曝光。   拉夫解释道:  查询骡子帐户的一种办法就是利用木马感染一台计算机,并开始交易,这时间,欺诈者就可以看到木马通过骡子帐户与命令和控制服务器(C&C)进行联系。为了试图挫败反诈骗安全研究人员(如我们)意图找到真正的骡子帐户的努力,欺诈者使用了创建“假骡子”的方法。欺诈者会对研究人员使用的计算机是否属于“合法”的URLzone僵尸感染的机器的一部分进行检查。如果计算机被认为是“外部”的,换句话说,就是犯罪分子不知道这台机器,他们就会将假骡子帐户提供给研究者所用的计算机。这是他们防止真正的骡子暴露的方法。  为了完成这一操作,犯罪分子在URLZone上添加了一段特殊的服务器端代码,阻止对集团所属真正骡子帐户的查询。这段代码显示的不是URLZone集团真正骡子帐户的资料,取而代之的是其它不属于该集团的骡子帐户的信息。这段代码显然是URLZone最独特的标志,说明了该犯罪集团活动相当的谨慎。  拉夫说“假骡子”模式可以确保该木马程序的实际骡子帐户不暴露,并在随后被封锁。  拉夫解释说,对钱骡帐户信息的锁定带来的变化导致一个高度有组织的盗窃计划显现了出来,他们凭借人为的浏览器攻击来利用钱骡窃取网络银行帐户中的资金。  他说,攻击中使用的木马现在有能力确认计算机是否在查询来自命令和控制服务器的钱骡信息,确认它是否属于被感染的僵尸网络。  “如果是一台未知计算机访问命令和控制服务器的话,将获得从超过400个(还在增加中)非骡子帐户列表中的一个,以便欺骗试图确认它们的行动,”拉夫说。  为了确认一台机器是否属于其“合法”感染计算机僵尸网络的一部分,URLZone将执行一长串的各种测试。举例来说,其中的一项测试(如下图所示)就是对木马标识或由URLZone分配给每台受感染计算机的独特识别码进行检查。如果标识是无效的,命令和控制服务器将通过伪装生成功能提供非骡子帐户的信息。   “当研究人员试图从被感染的计算机上追查真正的骡子帐户时,URLZone可以识别机器是不是属于真正僵尸网络的一部分,然后调用GenerateFalseDrop函数,”拉夫解释说。每次调用该函数,它就会从一大堆帐户列表中返回一个非骡子帐户的信息。  在生成非骡子帐户欺骗执法人员的时间,该木马显示的实际上是真正的银行帐户,是URLZone受害者在系统被感染的时间进行的合法交易的细节。  这些帐户交易信息是木马根据不同的标准筛选出现的,以确定他们是否可以加入假骡子帐户列表中。只要计算机感染了木马,受害者继续进行网络交易的话,URLZone就可以通过中间人攻击伪造交易细节,越来越多的信息会被加入假骡子帐户列表中。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部