偽裝並偷走資料 -2014-8-15
這是一篇關於數據洩漏技術的有趣文章。
這些攻擊者特別之處在於他們如何利用Google Developers以及位於加州費利蒙市的Hurricane Electric公司所設置的公共網域名稱系統(DNS)服務去掩飾惡意軟體與命令控制伺服器之間的通訊。
這兩種服務會被當作一種交換站,將通訊重新導向看似合法的網域,像是adobe.com、update.adobe.com和outlook.com。
這種惡意軟體會藉由含有合法網域名稱的HTTP標頭來偽裝其通訊,FireEye已發現了有21個合法網域名稱被攻擊者所使用。
此外,攻擊者還會在Kaba惡意軟體上簽署被列為警察互助協會(Police Mutual Aid Association)團體發佈的合法證書以及被稱為"MOCOMSYS INC."的組織所發佈的已過期證書。
對於Google Developers,攻擊者可以利用此服務去掌握程式碼,它是用來解碼惡意軟體的通訊,以確認真正目的地的IP位址,並且將通訊重新導向該位址。
過去被稱作Google Code的Google Developers是一個提供Google開發者產品相關的軟體開發工具、應用程式界面和文件的搜尋引擎網站。開發者還可以使用該網站分享程式碼。
Hurricane Electric將網路名稱伺服器設置完成,使得任何人都可以免費註冊一個已有公司託管服務的帳號,而攻擊者利用了這項優點。
這個服務允許每個人註冊一個獨特的DNS區域,它是DNS裡一部分連續的網域名稱空間。註冊者可因此為其建立一個A紀錄,並將他們指向任何的IP位址。
雖然這個技術可能證實不法份子變得更精明,但坦白說,這看起來像是政府的滲出技術。
本文為【資訊安全實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/08/disguising_exfi.html
Leave a Reply