查看文章 |
最近一段时间,对黏虫类木马相当有兴趣,这不,2天前又“抓”到一款,针对网银硬证书(UsbKey)攻击的。 几年前我国银行业为了提高储户网上支付和交易的安全,均使用了强硬件认证模式,像工行的U盾、建行的UsbKey等等。虽然各个银行上UsbKey之前,一些安全专家曾呼吁过有些攻击可以穿透硬证书,不能因为有了硬证书就高枕无忧,但似乎如针落大海。几年过去,一些银行现在已经开始以百元内的价格向储户兜售UsbKey了,似乎说明安全性的确很高。
我们必须有一个的认知:UsbKey只是一种身份认证的手段,而不是一种安全防护手段。它所保护的是通信双方两点的可信任,也就是说,当储户插入UsbKey后,网银客户端与网银服务器之间是一种安全的互动,至于由谁来操控它,无所谓的……
首先,我从来不认为中国的金融业信息安全度是最高的――如果,哪天警察叔叔说偷别人网上银行的钱跟偷游戏虚拟币一样不立案,我敢说第二天就会让银行那些鼓吹UsbKey是终极安全方案的人夹着尾巴找地缝钻。
这款网银盗窃木马是黏虫原理,但不对账户和密码发生兴趣,而是用户打开网上支付、转账界面的时候关注――在收款方户名、收款方开户行和收款方账户前面加文本框。
当用户输入要转账的所有资料之后,点击确定会弹出一个确认提示框,确认无误,转账。但其实在用户写完所有信息的第一个Click时,先前输入的信息早已经被黏虫cls后Print指定到另外一个账户了,所弹出的确认提示框也仅仅只是一个伪装的而已。
关于LNK修改的形态,该黏虫嵌入了配置代码,使用者可以直接在文本框中输入要攻击目标的启动exe文件名,感染后黏虫将自动搜索该文件名来替换。 参数配置的几个选项相当猥亵。不同的转账模式伪造不同的文本框; 如果某位储户没有设置转账限额的话,一旦感染到这类鬼玩意,“余额98%转出”这个选项则彻底能让这位储户倾家荡产…… “不修改转账金额”这个选项让使用UK的储户即便很快发现转账出错,到时有嘴也说不清楚--明明给章老三转了500元,怎么跑到王老四那里去了?银行说是储户操作错误?谁会犯这么神经的错误呢!!!你就是把银行告上法院恐怕也无济于事。你要找那个“转错账”的陌生人王老四?警察也不会有什么办法的,那玩意很难取证,金额不大的时候80%以上都不会给你立案。 其实这种小把戏N年前已经有人使用过了,但是没有形成体系,现如今防火墙主动防御的盛行,也彻底催生了黏虫系统化。现在的主动防御病毒防火墙会对黏虫技术起到主动的效果吗?其实,对于一个一般的计算机用户而言,没有杀毒软件那是万万不能的事情,但是,杀毒软件也绝对不是万能的。金融行业作为敏感行业,在自己的客户端上加了P点UNHooK API、UN消息钩子、UN.dll注入的防护代码,再给配一个USBKEY,不被粘才怪。 关于防护,别看这么猥亵简单的木马,要主动防起来,还真是有些无从下手--难不成每个病毒防火墙都禁止应用程序快捷变动?360保险箱?瑞星卡卡?呵呵,莫不是每次启动都到安装目录里面点击exe?现在的金融业的安全是嫁接在经济环境大好和网游虚拟币市场不错的前提下,金融海啸期间,如果再寄希望于犯罪分子惧怕法律的威严这种狗屁逻辑上,那可真就得不偿失了。 说到底,还是希望大家自己多点心眼。而作为社会工程学结晶的黏虫技术,还是少点这种程序吧。 |
