【51CTO.com 綜合消息】盡管惡意軟件通過公共資源進行更新已經不再是什么新鮮事，但RSA FraudAction研究實驗室最近發現這種托管方法被用于操縱一種銀行木馬，即“巴西銀行家”木馬家族的一個變種。

實際上，允許用戶上傳所有類型的內容，并隨后在有序表單中，沒有換行符，如HTML標簽所表示的單行換行符予以發布的網站，都能被用來存儲木馬的加密配置。這包括幾乎所有的可以不受限制的發表評論，創建公開人物介紹和設置新聞組的社交網絡及web 2.0平臺。

向銀行木馬發送命令和控制

“巴西銀行家”是一種將巴西的銀行和其他拉丁美洲銀行的客戶作為攻擊目標的金融木馬。 有關“巴西銀行家”變種加密指令（見圖1）的社交網絡人物介紹，在我們發現該木馬配置點之后不久，這些違法內容就被該社交網絡的支持團隊所處理和刪除。需要著重指出的是，這家社交網站無法防范被上述這樣的方式所利用。任何可以發表用戶自行輸入內容的網站都容易受到這種濫用的攻擊，而它賦予用戶的自由則恰恰可以被利用。

圖1 用作木馬加密配置的社交網絡人物介紹:

其工作原理如下： 

◆隱藏在惡意軟件背后的黑客為 “Ana Maria”的用戶創建了一條假的人物介紹，并以文本的方式輸入惡意軟件的加密配置設置，隨后上傳至該人物介紹中。 

◆惡意軟件在用戶機器上自行安裝后，就會在人物介紹中搜索字符串EIOWJE（上張屏幕截圖中用下劃線標示）。這個字符串意味著惡意軟件配置指令的起始點。 

◆EIOWJE字符串之后的所有加密命令被惡意軟件解密并在被感染計算機上執行。

上述方法可以讓黑客無需租用專用的防彈服務器或為惡意軟件的通信點注冊域，就能夠發送加密的命令。據報道，另一個被利用為木馬運行命令和控制點的公共資源是Twitter的RSS產品。在這個示例中僵尸牧人的操縱方法如下所示： 

◆欺詐者創建一個假的Twitter賬戶。 

◆通過登錄指定的電子郵件賬戶，木馬定期在通過Twitter RSS發送的狀態更新中檢查新的指令。每個新的命令都顯示為狀態更新，并且包含有木馬需要執行的新命令。

有個犯罪分子甚至更進一步，創建了一個基于Twitter的僵尸網絡建立程序。另一個案例利用了Google Groups：在受害者計算機上完成自行安裝后，木馬就登錄到Google Gmail賬戶，并從該犯罪分子預先為木馬操作而創建的特定假新聞組請求頁面。木馬隨后執行新聞組最新頁面中指定的命令，并將其回復作為帖子上傳至同一個新聞組中。

互聯網安全公司之前已經報告過，包含有大量人物介紹的Web 2.0平臺，諸如社交網站和webmail提供商，正被木馬操縱者利用來存儲惡意軟件配置文件： 
◆犯罪分子不需要為其命令和控制點（也稱為更新點）購買和維護域名。 

◆犯罪分子不需要為他們的活動購買或維護專用的防彈服務器。 
◆公開的人物介紹或賬號一旦被這些服務刪除，新的人物介紹或賬戶就能夠快速、免費地創建。

從犯罪分子的角度來看，對公共資源的利用可能更加難以發現。僅僅通過掃描可疑URL檢測托管于公共網站的木馬相關通信資源實際上已經幾乎不可能。這些資源要求安全公司部署其他的檢測方法。

值得一提的是，盡管存在著許多優勢，但將通信資源托管于公共資源之上的銀行木馬攻擊還相當少見；目前這種方法仍然規則之外的一種異常方法。通常，在檢測到威脅并通知相應的支持團隊后，這些命令和控制點的刪除還是非常簡單和快捷的。

解析7月網絡釣魚攻擊

2010年7月，RSA連續第二個月監測到網絡釣魚攻擊數量的減少；在7月份，攻擊總數下降了16%。其中，使用標準方法進行托管的攻擊比上個月下降了7%，而托管于快速通量網絡的供給數量則整整下降了70%。

根據最近幾個月RSA的報告，Rock網絡釣魚團伙（也稱為雪崩團伙）已經停止了網絡釣魚活動，并在活躍地發動攻擊以到處擴散惡意軟件。因此，在7月份，由MS-重定向網絡（也稱為雪崩僵尸網絡）發起的供給非常之少。  

遭受攻擊的品牌總數

在7月，網絡釣魚供給針對全球216個品牌發起了攻擊，比5月減少了3%。上個月，被攻擊次數少于5次的品牌共有120個，占所有遭攻擊品牌總數的56%，同時共有19個品牌第一次遭受攻擊。  

美國境內遭受攻擊的金融機構細分

全國性銀行仍然是美國金融機構中遭受攻擊最多的品牌（按遭受攻擊的品牌數量），比6月份上升了3%。遭受攻擊的地區性銀行數量下降了3個百分點，而遭受攻擊的信用合作社部分與5月份相比保持不變。自2010年5月以來，相比之下美國的全國性銀行一直是網絡釣魚攻擊的重災區。

托管網絡釣魚攻擊最多的前十個國家

美國連續8個月以相當大的比例成為托管網絡釣魚攻擊最多的國家；在7月份，RSA所確定的網絡釣魚攻擊，美國托管了63%。加拿大和澳大利亞仍然是托管網絡釣魚攻擊最多的國家之一，而連續幾個月位于前三名的韓國則下滑到第7位，托管了7月份攻擊總數的3.5%。  

攻擊數量最多的前十位國家

7月，發生在美國的網絡釣魚供給數量有所增加，取代了英國成為遭受攻擊數量最多的國家。此外，在連續三個月位列榜單后，巴西被哥倫比亞所取代，掉出了攻擊數量最多的前十位國家之列。  

按攻擊品牌劃分的前十位國家

7月，遭受攻擊的美國品牌數與所有其他國家相比比例接近2：1。巴西完全消失在圖表中，而新西蘭自2009年9月首次入圍以來，重新出現在了名單之中。自2010年3月以來，網絡釣魚攻擊者持續不斷地對相同一批國家的品牌發起攻擊，即美國，英國，意大利，加拿大，澳大利亞，印度，南非和法國。