昨天，兩位研究人員在黑帽大會上拉開了有針對性的惡意軟件攻擊的帷幕，演示了依靠各種攻擊手段實現的攻擊，這些手段包括從零日PDF攻擊到基于內存的rootkit攻擊。在當天舉行的四場演示中，每種攻擊都進行了精心設計，其目的在于攻破目標公司，而且還在惡意軟件中增加了新功能，以避開已經部署的檢測保護系統，或者使網絡安全取證調查人員無法取證。

數據安全和支付卡行業合規性管理解決方案提供商Trustwave公司的安全研究機構SpiderLabs的高級副總裁Nick Percoco指出，“定制惡意軟件是攻擊取得成功的關鍵，穩扎穩打是攻擊取得成功的重要因素。攻擊者既沒有急于求成，也沒有采用什么齷齪伎倆。攻擊的持續性至關重要，攻擊者必須不斷發起并保持攻擊?！?/P>

有針對性的、持續性的攻擊一直是今年的主要攻擊方式。谷歌及其他30多家技術公司、大型企業和美國國防承包商先后承認，黑客已經滲透其網絡，利用先進的攻擊技術秘密竊取了其敏感數據。這些攻擊還創造了一個新的安全術語：高級持續性威脅（Advanced Persistent Threat，APT）。

雖然有針對性的攻擊可能成為更加流行的攻擊方式，但攻擊者進入企業網絡的手段與一年半前并沒有太大區別。鍵盤記錄器、網絡嗅探器和內存轉儲工具仍然是主要的攻擊工具，所不同的是攻擊者采用了新的手段隱藏其蹤跡，以便能夠長期開展持續性的攻擊。

Percoco與其同事、Trustwave公司資深取證調查員Jibran Ilyas同時指出，在許多情況下，攻擊者可以在眾目睽睽之下隱藏其蹤跡。例如，他們使用可信賴的方式（例如FTP、HTTP和SMTP）將數據從企業傳送出去。防火墻不會將HTTP流量標記為異常，而如果流量使用大于31337的TCP端口傳送時，防火墻將會產生告警。

在其他情況下，例如在最近對一個知名人士經常光顧的、著名的邁阿密運動吧的攻擊中，攻擊者找到了避開數據丟失防護軟件的簡單方法。攻擊者使用基于內存的rootkit工具安裝惡意軟件，該惡意軟件可以捕獲在該運動吧刷卡的信用卡磁條數據。該運動吧沒有IT人員，其所有IT需求都是通過外包實現的。更糟糕的是，其收銀系統與視頻安全系統的DVR（數碼錄像機）服務器是同一套系統。

攻擊者設法在該系統中安裝了一個rootkit工具，該rootkit工具只提取包含信用卡號碼的磁條數據。在每張信用卡的磁條數據中，信用卡號碼與信用卡帳戶持有人姓名之間有一個“carrot”字符（“^”）。數據丟失防護軟件將這個“^”字符看作是信用卡號碼的一部分。該惡意軟件的目的就是使用百分號替代這個“^”字符。當包含信用卡號碼的數據被傳送出去時，數據丟失防護軟件永遠也查找不到這個“^”字符。

在針對West Coast網上成人書店的攻擊中，攻擊者設法劫持了一個Web應用程序（該網站所有Web應用程序的開發都是外包的）并安裝了一個鍵盤記錄器，以竊取管理頁面上的身份驗證憑據。令人難以置信的是，該管理頁面居然允許文件上傳，從而使這樣的攻擊能夠得逞。

為了防止警惕的管理員可能會注意到Windows文件夾中多出來一個新的日志文件，該惡意軟件中還包含了一個工具，可以修改新日志文件的時間戳數據，以使其看起來好像是自操作系統安裝時就已經存在了。

Percoco指出，“太多的第三方應用程序存在漏洞”。

第三方應用程序還導致國際VoIP服務供應商被攻擊者攻破。國際VoIP服務供應商為客戶提供了兩種付款方式：在線支付或通過銷售終端支付。攻擊者可以在Ngrep中加入一個網絡嗅探器，Ngrep是一款允許用戶在網絡數據包中搜索正則表達式的工具。該惡意軟件將會查找包含信用卡數據的數據包，并在每天固定的時間將其通過FTP發送給攻擊者。

在由兩名研究人員共同完成的最后一個攻擊演示中，一家為美國軍方進行數據分析的國防承包商的網絡也被一個Adobe PDF零日攻擊攻破。攻擊者發送一封精心設計的、看起來像是來自行政部門的電子郵件，其內容和簽名也與該行政部門日常發送的電子郵件相同。實際上，該郵件的附件是一個被感染的PDF文件。一旦該PDF文件被打開，惡意軟件就會竊取受害者計算機中的“我的文檔”文件夾內的所有文檔，并通過FTP將這些內容上傳到攻擊者的服務器。

Percoco表示，“這些攻擊防不勝防。我們看到，新的攻擊層出不窮，攻擊者不斷開發新的攻擊工具，并為這些攻擊工具增加新的高級功能和自動化功能。利用這些自動化功能，攻擊者甚至不需要接觸要攻擊的系統就可以發起攻擊。”  

【編輯推薦】

1. 五大高危險僵尸網絡攻擊模式全解析
2. 秘籍：DDOS網絡攻擊的7種武器