玩弄用戶“絕對信任”！以合法App與憑證為誘餌攻擊成黑客新主流

Google惡意軟件研究報告指出，網(wǎng)絡(luò)犯罪著及黑客正在部署各種“濫用信任”的方法傳播惡意軟件并規(guī)避傳統(tǒng)安全防御機(jī)制，尤其愛玩弄信譽(yù)良好軟件供應(yīng)商與用戶的“絕對信任”，包括濫用合法傳播渠道傳播惡意軟件，且模仿合法應(yīng)用程序。

通過合法域名傳播惡意軟件，惡意軟件便可毫發(fā)無傷通過域名／IP防火墻等傳統(tǒng)網(wǎng)絡(luò)邊界防御機(jī)制。據(jù)提交Google Cloud旗下VirusTotal研究團(tuán)隊(duì)的研究報告指出，千大Alexa域名有10%傳播可疑惡意軟件樣本。Google共發(fā)現(xiàn)超過200萬個從合法Alexa域名（包括經(jīng)常分發(fā)文件的域名）下載的可疑文件。

另一個攻擊渠道是，從合法軟件開發(fā)商竊取合法簽署憑證，為惡意軟件簽章。研究透露，超過100萬份2021年以來簽章樣本認(rèn)為可疑。即使有多樣本使用無效或撤銷憑證，但受害者多半也無法確認(rèn)憑證有效性。

最令人擔(dān)憂的，莫過于攻擊者竊取合法憑證的攻擊手法，無異為供應(yīng)鏈攻擊創(chuàng)造完美攻擊模式與場景。現(xiàn)在有越來越多攻擊者部署偽裝成合法軟件的惡意軟件，成為備受黑客關(guān)注的典范社交工程手法。由于應(yīng)用程序圖標(biāo)成為用戶判斷程序合法的依據(jù)，所以黑客會同時安裝惡意軟件及用戶認(rèn)為合法的軟件。換言之，以合法軟件當(dāng)誘餌成為讓受害者乖乖受縛，且不會驚動安全警示的有效保證。VirusTotal認(rèn)為這些攻擊渠道及手法勢將成為黑客界增長可期的流行趨勢。

報告另外指出，Skype、Adobe Acrobat及VLC媒體播放器圖標(biāo)成為三大最常被復(fù)制仿冒的應(yīng)用程序圖標(biāo)。但據(jù)感染率看，Adobe Acrobat、Skype和7.zip才是感染最高的三大應(yīng)用程序，站在社交工程的角度，三款應(yīng)用程序才該是黑客復(fù)制仿冒圖標(biāo)的最愛才對。不論如何，黑客會根據(jù)軟件流行度轉(zhuǎn)換要復(fù)制仿冒的應(yīng)用軟件。

VirusTotal運(yùn)用網(wǎng)站圖標(biāo)相似性分析URL和應(yīng)用程序圖標(biāo)相似度，發(fā)現(xiàn)WhatsApp、Facebook、Instagram和iCloud遭疑似惡意URL濫用度最高。

（首圖來源：Flickr/BlogtrepreneurCC BY 2.0）