google恶意软件研究报告指出,网络犯罪着及黑客正在部署各种“滥用信任”的方法传播恶意软件并规避传统安全防御机制,尤其爱玩弄信誉良好软件供应商与用户的“绝对信任”,包括滥用合法传播渠道传播恶意软件,且模仿合法应用程序。
通过合法域名传播恶意软件,恶意软件便可毫发无伤通过域名/ip防火墙等传统网络边界防御机制。据提交google cloud旗下virustotal研究团队的研究报告指出,千大alexa域名有10%传播可疑恶意软件样本。google共发现超过200万个从合法alexa域名(包括经常分发文件的域名)下载的可疑文件。
另一个攻击渠道是,从合法软件开发商窃取合法签署凭证,为恶意软件签章。研究透露,超过100万份2021年以来签章样本认为可疑。即使有多样本使用无效或撤销凭证,但受害者多半也无法确认凭证有效性。
最令人担忧的,莫过于攻击者窃取合法凭证的攻击手法,无异为供应链攻击创造完美攻击模式与场景。现在有越来越多攻击者部署伪装成合法软件的恶意软件,成为备受黑客关注的典范社交工程手法。由于应用程序图标成为用户判断程序合法的依据,所以黑客会同时安装恶意软件及用户认为合法的软件。换言之,以合法软件当诱饵成为让受害者乖乖受缚,且不会惊动安全警示的有效保证。virustotal认为这些攻击渠道及手法势将成为黑客界增长可期的流行趋势。
报告另外指出,skype、adobe acrobat及vlc媒体播放器图标成为三大最常被复制仿冒的应用程序图标。但据感染率看,adobe acrobat、skype和7.zip才是感染最高的三大应用程序,站在社交工程的角度,三款应用程序才该是黑客复制仿冒图标的最爱才对。不论如何,黑客会根据软件流行度转换要复制仿冒的应用软件。
virustotal运用网站图标相似性分析url和应用程序图标相似度,发现whatsapp、facebook、instagram和icloud遭疑似恶意url滥用度最高。
(首图来源:flickr/blogtrepreneurcc by 2.0)