通過木馬感染才能竊取目標機密的時代一去不復返了。八月問世的鍵盤記錄器ScanBox也許開啟了“竊聽工具”的新紀元，攻擊者將ScanBox惡意Javascript代碼植入存在漏洞的網站上，就可以將用戶的鍵盤記錄全部截獲下來。

ScanBox軟件簡介

普華永道(PwC)的Chris Doman和Tom Lancaster表示：“ScanBox非常的危險，它不需要像傳統惡意軟件一樣植入計算機硬盤才能竊取機密，它只需要你的瀏覽器執行javascript代碼就能進行鍵盤記錄。”他們在周一的報告中發布了四個不同的攻擊案例，每個案例都是由不同的人利用ScanBox發起的攻擊。

八月，AlienVault實驗室發布了ScanBox，這款工具的主要功能是信息竊取。除了鍵盤記錄功能以外，它還能列舉系統中安裝的軟件列表，包括安全軟件、Adobe Flash及Adobe Reader的版本號，Office的版本號，以及Java環境的版本號。這些系統信息會被ScanBox加密，通過后門傳到主控服務器上。

AlienVault實驗室的老大Jaime Blasco寫道：“這是一個非常強大的框架，它會幫助你發現更多的潛在目標，然后更加輕松地發起后續攻擊。”

FreeBuf科普：什么是水坑攻擊

水坑是由RSA安全公司命名的一種計算機攻擊策略。它的受害者通常都是一些特定的組織，如機構組織、工業組織、區域組織。攻擊者主要是先觀察哪些網站使用并感染了惡意病毒，然后再有針對性的去實施攻擊。#p#

攻擊案例枚舉

同時進行的不止這些，利用“水坑攻擊”向網站植入ScanBox以后，會跟上一系列的后續攻擊。然而，受害者并不止于AlienValult實驗室于八月發現的那些工業目標。一個月前，該漏洞代碼通過code.googlecaches.com的漏洞，攻擊了中國的維族激進分子。然后在十月還發現另外兩場攻擊。其中一場是通過news.foundationssl.com上的漏洞，對美國某個政府網站發起的。另一場則是借助qoog1e.com對一家韓國的酒店網站發起的攻擊。

Doman和Lancaster稱：

“這些行動給我們最明顯的警示是，不止一個組織在使用這種框架(雖然該框架使用范圍不止于此，某些黑客盯上了大量的組織機構，某些人對特定地區部門更感興趣)”

誰才是攻擊者

普華永道(PwC)研究員同時還表示，他們發現同一類代碼中的實現了不同功能。

比如，在那四個受攻擊的網站(PwC周一發布的報告中的四個案例)中運行的同一類惡意代碼，A、B兩個網站和C、D兩個網站的代碼實現有著一定區別。在前兩個網站中它可能只是獨立的代碼塊，而在另外兩個網站上，它得通過插件才能實現。

PwC的報告寫道：“我們并沒有發現這些黑客之間有什么直接聯系，沒有使用諸如相同的域名或IP地址等特征。對于都在GoDaddy注冊的那些網站，也沒有發現什么特別的聯系。”

黑客之間的資源分享導致代碼特征重疊

“在一些攻擊案例中，某些黑客傳播分享的資源，其實是由黑客組織通過“水坑攻擊”竊取到的。當然，這些資源也有可能是那四個案例幕后的黑客組織;或者是那些目標定位廣闊，試圖從不同目標上收集惡意代碼的黑客組織。”Doman和Lancaster說。

同時他們還認為：“在我們看來，最有可能的是那些黑客組織分享資源導致了特征重疊(小編：分析不出來就明說嘛)。在不同的黑客組織發現他們擁有相同的目標后，他們會共享惡意軟件庫、人員、甚至有時是同一批主機，所以這會造就許多相似特征。分享如ScanBox之類的框架降低了攻擊者的門檻，使攻擊者能輕松地達到更好的攻擊效果。”

原文鏈接：http://threatpost.com/four-distinct-watering-hole-attacks-dropping-scanbox-keylogger/109061