玩弄使用者「絕對信任」!以合法 App 與憑證為誘餌攻擊成駭客新主流

作者 | 發布日期 2022 年 08 月 08 日 8:45 | 分類 Google , 網路 , 資訊安全 Telegram share ! follow us in feedly


Google 惡意軟體研究報告指出,網路犯罪著及駭客正在部署各種「濫用信任」的方法散布惡意軟體並規避傳統安全防禦機制,尤其愛玩弄信譽良好軟體供應商與使用者的「絕對信任」,包括濫用合法傳播管道散布惡意軟體,且模仿合法應用程式。

透過合法網域散布惡意軟體,惡意軟體便可毫髮無傷通過網域/IP 防火牆等傳統網路邊界防禦機制。據提交 Google Cloud 旗下 VirusTotal 研究團隊的研究報告指出,千大 Alexa 網域有 10% 散布可疑惡意軟體樣本。Google 共發現超過 200 萬個從合法 Alexa 網域(包括經常分發檔案的網域)下載的可疑檔案。

另一個攻擊管道是,從合法軟體開發商竊取合法簽署憑證,為惡意軟體簽章。研究透露,超過 100 萬份 2021 年以來簽章樣本認為可疑。即使有多樣本使用無效或撤銷憑證,但受害者多半也無法確認憑證有效性。

最令人擔憂的,莫過於攻擊者竊取合法憑證的攻擊手法,無異為供應鏈攻擊創造完美攻擊模式與場景。現在有愈來愈多攻擊者部署偽裝成合法軟體的惡意軟體,成為備受駭客關注的典範社交工程手法。由於應用程式圖示成為使用者判斷程式合法的依據,所以駭客會同時安裝惡意軟體及使用者認為合法的軟體。換言之,以合法軟體當誘餌成為讓受害者乖乖受縛,且不會驚動安全警示的有效保證。VirusTotal 認為這些攻擊管道及手法勢將成為駭客界成長可期的流行趨勢。

報告另外指出,Skype、Adobe Acrobat 及 VLC 媒體播放器圖示成為三大最常被複製仿冒的應用程式圖示。但據感染率看,Adobe Acrobat、Skype 和 7.zip 才是感染最高的三大應用程式,站在社交工程的角度,三款應用程式才該是駭客複製仿冒圖示的最愛才對。不論如何,駭客會根據軟體流行度轉換要複製仿冒的應用軟體。

VirusTotal 運用網站圖示相似性分析 URL 和應用程式圖標相似度,發現 WhatsApp、Facebook、Instagram 和 iCloud 遭疑似惡意 URL 濫用度最高。

(首圖來源:Flickr/Blogtrepreneur CC BY 2.0)