网购木马传播和攻击流程分析

这篇博客内容出自我在VB2012国际会议的演讲议题——《中国网上购物市场恶意软件攻击分析》，分析了中国网购市场恶意软件的传播方式、安全检测面临的挑战以及网购恶意软件鉴定等内容，完整英文版幻灯片和论文下载：幻灯片  | 论文 。中文版论文的翻译稍后奉上。

网上购物已经成为我国网民的重要生活习惯。根据报告，截至2011年，我国有5.13亿民众有上网习惯。网路购物的消费总额达到1027亿美金。著名购物网站淘宝网，每分钟可以卖出四万八千份商品。这不仅仅是个具有庞大商机的市场，也是一个令黑客垂涎三尺的获利目标。

国内用户也共享类似的软件使用习惯。微软的浏览器IE，在国内有超过50%的市场份额。即时通讯软件QQ则有上亿的帐户量。压缩软件则是以Winrar最为普及。在这场演讲中所举例的网购木马家族，就是利用上述三款软件对网上购物的网民进行传播、盗取金钱以及安全软件的免杀。

网购木马主要有两大传播渠道。第一大传播渠道是钓鱼网站，或是虚假的购物网站。这类网站常常以不可思议的低价来吸引用户浏览ˋ，用户会由网站上下载由木马伪装的”电子折扣券”或是”实物照片”，造成电脑感染。网站也有可能假装东西卖完了，请用户留下联系方式，一有”货”就会通知用户，其实上门的是木马文件。

第二大渠道是直接通过即时通讯软件的文件传输，透过社会工程学手段主动让用户接受文件并且点击。攻击者会在特定的群内发消息，声称某某商品大降价，请点击连结查看详情，点击的用户就有机会中招。黑客也会通过盗来的帐号发送私密信息，如下图示意，只要把木马的图标提换成美女图，加上”这是我新女友”的讯息，很多人就会双击木马文件而中招。

网购木马的典型流程：双击执行了恶意软件之后，用户会看见想看的图片，譬如商品实物图、美女图。貌似无害，但其实这是降低警戒心的手段。木马程序会开始监控浏览器页面，当发现用户进入支付页面的时候，将支付页面的内容篡改，使得钱实际上是流入了网购木马作者的黑帐户里面。黑客会立刻透过购买虚拟宝物后变现、手机充值后购物等方式进行多阶段洗钱，使得追踪源头相当复杂困难。

我们在现场还展示了一个实际攻击的案例，当用户进入支付页面的时候，木马会修改网页的按钮，使得前往网银的按钮实际上却是对木马服务器发出请求。而木马服务器再对银行发起新的请求，这个请求会把钱导向攻击者的帐户。银行回应一个网银登入确认的页面，木马服务器将此页面送到用户机器上，最后本地端的木马负责修改页面上收款帐户的讯息，让用户信以为真，完成整个诈骗金钱的流程。此类攻击技术目前国际上称之为MITB attack(Man in the browser)。

 

 

最后的部分，我们分享了侦测网购木马的挑战，以及黑客与安全软件对抗的思路。网购木马通常以压缩包形式传播，而扫描压缩包对安全软件来说则是一大挑战。攻击者可以构造畸形压缩包来挑战扫描引擎的容错能力。一个相当有意思的案例是一个压缩包但是有两个格式在内。文件前端是Compound binary format，里面只有一些无害的文件。紧接在后的是rar压缩格式，真正的木马文件则是藏于此处。对于一般杀毒软件来说，扫描完前面的无害文件之后，很容易忽略掉后面的第二段压缩格式。但对于Winrar来说，因为文件后坠名是.rar，所以它反而忽略了压缩包前面的compound binary format，直接解开rar压缩格式内的木马文件。所以同一个压缩包，扫描引擎与Winrar看到的文件却是截然不同，造成木马文件可以绕过安全软件的防御。

 对于网购用户的保护，我们总结了三条主要思路：

1. 在不同的用户场景，执行不同的安全策略。在网购保镖下，360执行最严格的安全策略来保护用户不受木马攻击。任何造成威胁的程序皆会被拦截，直到用户完成网购为止。
2. 以最高速度响应安全威胁。反应速度越快，木马作者能赚到的钱就越少。当利润下降到一定程度，木马的活动就会趋缓。
3. 拥有多层次的防御机制。从360安全浏览器、360网盾、到360安全卫士，里面包含了恶意网址防御、云查杀、QVM、主动防御、隔离沙箱…等先进防御系统，木马作者要绕过全部的机制，成本势必提高。成本提高也会对木马活动造成相当大的影响，减低攻击者的意愿。