譯者 | 陳峻
審校 | 孫淑娟
表單抓取(Form-Grabbing)類惡意軟件每天都在悄無(wú)聲息地感染著數(shù)千臺(tái)計(jì)算機(jī)。而就在您的不經(jīng)意之間,這種惡意軟件竊取到了您的敏感數(shù)據(jù),進(jìn)而向其他的惡意黑客授予對(duì)您的計(jì)算機(jī)的訪問(wèn)權(quán)限,以便他們能進(jìn)一步向您發(fā)送垃圾郵件,或竊取您更多的信息。
什么是表單抓取類惡意軟件?
此類表單抓取類惡意軟件往往是專門(mén)針對(duì)從瀏覽器的頁(yè)面上捕獲Web表單數(shù)據(jù)(如:用戶名、密碼和其他個(gè)人信息)而設(shè)計(jì)的。
盡管鍵盤(pán)記錄器(keylogger)至今仍會(huì)被用來(lái)竊取管理員的數(shù)據(jù),但是表單抓取可謂獲取瀏覽器憑據(jù)的最常見(jiàn)方式之一。它們主要被用于用戶通過(guò)互聯(lián)網(wǎng),與銀行網(wǎng)站的安全服務(wù)器交互之前,從表格中識(shí)別并竊取重要數(shù)據(jù)信息。
與鍵盤(pán)記錄器不同,即使用戶的數(shù)據(jù)和憑據(jù)只是通過(guò)粘貼,自動(dòng)填充,以及使用虛擬鍵盤(pán)輸入的,也會(huì)被表單抓取器所獲取到。這些被收集到的信息隨后會(huì)被存儲(chǔ),進(jìn)而傳輸?shù)教囟ǖ姆?wù)器上。
表單抓取的發(fā)展史
雖然此項(xiàng)技術(shù)誕生于2003年,但是直到2007年的Zeus出現(xiàn)之后,表單抓取才被認(rèn)為是一種主要的惡意軟件攻擊。該惡意軟件往往會(huì)被嵌入到發(fā)送給多個(gè)收件人的電子郵件中。此類郵件的目標(biāo)就是要讓人們錯(cuò)誤地認(rèn)為,它們來(lái)自信譽(yù)良好的銀行或公司。從2011年被公布于世的Zeus源代碼來(lái)看,它能夠允許創(chuàng)建不同版本的木馬。
盡管初代Zeus的代碼已經(jīng)被淘汰,但是由其產(chǎn)生的、非常惡劣的表單抓取類惡意軟件,至今仍在互聯(lián)網(wǎng)上肆虐。其中最為著名的當(dāng)屬SpyEye。SpyEye使用的便是其前身Zeus的相關(guān)代碼,并以網(wǎng)絡(luò)瀏覽器為目標(biāo),通過(guò)記錄擊鍵,在用戶登錄銀行門(mén)戶時(shí),竊取其憑據(jù)和授權(quán)。
SpyEye非常難以被察覺(jué)和追蹤到。它主要通過(guò)來(lái)自不安全的網(wǎng)站鏈接、以及垃圾郵件的方式,潛入您的計(jì)算機(jī),進(jìn)而主動(dòng)發(fā)起交易,竊取資金,并將其發(fā)回給其創(chuàng)建者。
表單抓取類惡意軟件的工作原理
如前所述,一種成功的抓取表單軟件的關(guān)鍵是,在瀏覽器和網(wǎng)絡(luò)棧之間插入惡意軟件,以便在數(shù)據(jù)被加密之前,就攔截內(nèi)容。
首先,它需要在瀏覽器中安裝瀏覽器幫助對(duì)象(Browser Helper Object,BHO)。這允許惡意軟件尋找對(duì)于HttpSendRequest函數(shù)的調(diào)用。而HttpSendRequest函數(shù)主要負(fù)責(zé)建立到互聯(lián)網(wǎng)的連接,并將HTTP請(qǐng)求發(fā)送到指定的站點(diǎn)處。
惡意軟件通常會(huì)在每次啟動(dòng)時(shí)將??動(dòng)態(tài)鏈接庫(kù)文件??? (Dynamic Link Library files,DLL??) ??輸入到瀏覽器中。同時(shí),此類惡意軟件還會(huì)更改HTTP函數(shù),通過(guò)重新配置它們,以允許在入棧之前,將請(qǐng)求發(fā)送到含有木馬的代碼所有者那里。
如何免受表單抓取類惡意軟件的侵害
對(duì)付表單抓取器的最有效方法之一,便是安裝帶有病毒簽名的防護(hù)軟件。此外,限制用戶的權(quán)限,以防止下載BHO,則是防止木馬程序入侵系統(tǒng)的另一種策略。
安裝病毒防護(hù)軟件
防病毒軟件可以通過(guò)掃描來(lái)自互聯(lián)網(wǎng)的流量,并根據(jù)已知的威脅,標(biāo)記出那些可疑的交互,進(jìn)而盡快地阻止惡意軟件的自我植入,以及木馬程序的彈窗。同時(shí),若要使得防病毒軟件能夠有效地抵御表單抓取之類的惡意程序,則需要通過(guò)持續(xù)更新的方式,來(lái)防范最新形式的惡意軟件。
當(dāng)然,有些程序可能會(huì)直接強(qiáng)制您使用手動(dòng)的檢查方式。不過(guò),由于人工判斷能力的不同,有時(shí)候這種做法會(huì)讓那些處于遠(yuǎn)程設(shè)備上的惡意軟件被輕易地忽略掉,而不被發(fā)現(xiàn)。而更糟糕的是,在大多數(shù)時(shí)候,即使防病毒軟件檢測(cè)到了木馬惡意軟件,也只是會(huì)將它們置于隔離區(qū)中,等待用戶主動(dòng)去查看,以及按需刪除。可見(jiàn),在此類應(yīng)用場(chǎng)景中,我們更需要的是病毒防護(hù)軟件能夠?qū)λ邢到y(tǒng)執(zhí)行自動(dòng)掃描,立即對(duì)檢測(cè)到的惡意軟件予以刪除。這才是應(yīng)對(duì)表單抓取器最有效的方法。
避免未經(jīng)加密的連接
您應(yīng)該避免在未加密的網(wǎng)站上填寫(xiě)表格。僅僅使用HTTP的網(wǎng)站,如今已被Google Chrome等流行的瀏覽器標(biāo)記為不安全的方式。用戶在訪問(wèn)時(shí),會(huì)收到有關(guān)該網(wǎng)站不安全的警告。
通常,使用HTTPS協(xié)議的網(wǎng)站更為安全。一個(gè)帶掛鎖的符號(hào)通常會(huì)出現(xiàn)在URL地址欄中,以表明該網(wǎng)站正在使用HTTPS協(xié)議,且為安全的。由于它使用復(fù)雜的加密來(lái)保護(hù)網(wǎng)站和瀏覽器之間數(shù)據(jù)的交換,因此HTTPS不允許任何形式的抓取或鍵盤(pán)記錄。
其實(shí),HTTPS與HTTP屬相同的協(xié)議。唯一的區(qū)別在于,前者建立在安全傳輸層(Transport Layer Security,TLS)之上。它除了加密Web應(yīng)用與其服務(wù)器之間的連接之外,還可以保護(hù)電子郵件和消息的傳遞。
更重要的是,使用HTTP的網(wǎng)站只能將其數(shù)據(jù)以純文本形式傳輸,使得惡意攻擊者能夠很容易地讀取到它們。相反,即使您的計(jì)算機(jī)中存在著惡意軟件,若您訪問(wèn)的網(wǎng)站是運(yùn)行在HTTPS協(xié)議之上的網(wǎng)站,那么惡意軟件收到了數(shù)據(jù)后,也無(wú)法讀取或解碼已加密的信息。
使用URL黑名單
在您訪問(wèn)某個(gè)網(wǎng)站之前,為了安全起見(jiàn),請(qǐng)確保它沒(méi)有被列入黑名單。為此,您可以使用??Google透明度報(bào)告??(Google Transparency Report)。如下圖所示,請(qǐng)?jiān)陧?yè)面的搜索欄中輸入待訪問(wèn)網(wǎng)站的URL,如果列出了該網(wǎng)站的相關(guān)診斷信息,則可以確認(rèn)它會(huì)通過(guò)插件和下載的方式傳播惡意軟件。通過(guò)避免訪問(wèn)被列入黑名單的網(wǎng)站,我們可以有效地減少惡意軟件進(jìn)入計(jì)算機(jī)的機(jī)會(huì)。
設(shè)置網(wǎng)絡(luò)防火墻
此外,有許多不安全的頁(yè)面還會(huì)帶有有害的重定向,因此它們也會(huì)被列入黑名單。為此,您也可以將這些已列入黑名單的網(wǎng)站,添加到防火墻中,以確保自己在瀏覽互聯(lián)網(wǎng)時(shí),不會(huì)意外地連接到它們。畢竟,Web防火墻在阻止這些重定向的同時(shí),起到了保護(hù)敏感數(shù)據(jù)免受表單抓取器侵害的作用。
小結(jié)
目前,雖然表單抓取類惡意軟件十分常見(jiàn),但是我們可以采取一些積極的防護(hù)措施,以確保僅從受信任的來(lái)源下載擴(kuò)展和插件,進(jìn)而防止數(shù)據(jù)被盜。同時(shí),您也可以通過(guò)創(chuàng)建有害網(wǎng)站和服務(wù)器的列表,并將它們添加到防火墻的黑名單中,來(lái)保護(hù)您的計(jì)算機(jī)。
當(dāng)然,防病毒程序也是不錯(cuò)的選擇,最好它們能夠自動(dòng)掃描惡意軟件,并立即將其刪除。就個(gè)人習(xí)慣而言,您應(yīng)該盡量避免訪問(wèn)非HTTPS協(xié)議的站點(diǎn)。因?yàn)楸韱巫ト∧抉R就會(huì)在那里等著您的光顧。
譯者介紹
陳峻 (Julian Chen),51CTO社區(qū)編輯,具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn),善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控,專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。
原文標(biāo)題:??Form-Grabbing Malware: A Silent Threat to Your Online Security??,作者:OLUWADEMILADE AFOLABI
