玩弄用戶“絕對(duì)信任”！以合法App與憑證為誘餌攻擊成黑客新主流

Google惡意軟件研究報(bào)告指出，網(wǎng)絡(luò)犯罪著及黑客正在部署各種“濫用信任”的方法傳播惡意軟件并規(guī)避傳統(tǒng)安全防御機(jī)制，尤其愛(ài)玩弄信譽(yù)良好軟件供應(yīng)商與用戶的“絕對(duì)信任”，包括濫用合法傳播渠道傳播惡意軟件，且模仿合法應(yīng)用程序。

通過(guò)合法域名傳播惡意軟件，惡意軟件便可毫發(fā)無(wú)傷通過(guò)域名／IP防火墻等傳統(tǒng)網(wǎng)絡(luò)邊界防御機(jī)制。據(jù)提交Google Cloud旗下VirusTotal研究團(tuán)隊(duì)的研究報(bào)告指出，千大Alexa域名有10%傳播可疑惡意軟件樣本。Google共發(fā)現(xiàn)超過(guò)200萬(wàn)個(gè)從合法Alexa域名（包括經(jīng)常分發(fā)文件的域名）下載的可疑文件。

另一個(gè)攻擊渠道是，從合法軟件開(kāi)發(fā)商竊取合法簽署憑證，為惡意軟件簽章。研究透露，超過(guò)100萬(wàn)份2021年以來(lái)簽章樣本認(rèn)為可疑。即使有多樣本使用無(wú)效或撤銷憑證，但受害者多半也無(wú)法確認(rèn)憑證有效性。

最令人擔(dān)憂的，莫過(guò)于攻擊者竊取合法憑證的攻擊手法，無(wú)異為供應(yīng)鏈攻擊創(chuàng)造完美攻擊模式與場(chǎng)景?，F(xiàn)在有越來(lái)越多攻擊者部署偽裝成合法軟件的惡意軟件，成為備受黑客關(guān)注的典范社交工程手法。由于應(yīng)用程序圖標(biāo)成為用戶判斷程序合法的依據(jù)，所以黑客會(huì)同時(shí)安裝惡意軟件及用戶認(rèn)為合法的軟件。換言之，以合法軟件當(dāng)誘餌成為讓受害者乖乖受縛，且不會(huì)驚動(dòng)安全警示的有效保證。VirusTotal認(rèn)為這些攻擊渠道及手法勢(shì)將成為黑客界增長(zhǎng)可期的流行趨勢(shì)。

報(bào)告另外指出，Skype、Adobe Acrobat及VLC媒體播放器圖標(biāo)成為三大最常被復(fù)制仿冒的應(yīng)用程序圖標(biāo)。但據(jù)感染率看，Adobe Acrobat、Skype和7.zip才是感染最高的三大應(yīng)用程序，站在社交工程的角度，三款應(yīng)用程序才該是黑客復(fù)制仿冒圖標(biāo)的最愛(ài)才對(duì)。不論如何，黑客會(huì)根據(jù)軟件流行度轉(zhuǎn)換要復(fù)制仿冒的應(yīng)用軟件。

VirusTotal運(yùn)用網(wǎng)站圖標(biāo)相似性分析URL和應(yīng)用程序圖標(biāo)相似度，發(fā)現(xiàn)WhatsApp、Facebook、Instagram和iCloud遭疑似惡意URL濫用度最高。

（首圖來(lái)源：Flickr/BlogtrepreneurCC BY 2.0）