中国网银木马发展现状和趋势
木马数量和感染数量增加
2004年4月,江民公司反病毒中心截获了国内第一只网银木马——“网银大盗”(Trojan/PSW.HidWebMon)。两年半过去了,根据江民公司病毒预警系统的数据,我们得出了下面的统计结果:
图1
图1显示了从2004年8月到2006年10月期间,用户感染各类网银木马及其变种的数量。从图中可以看到,目前每月感染国内用户的网银木马病毒的数量大约有160种,相比之下,2004年每月只有10种左右。而且,红色的统计图线位于绿色的匀速增长直线下方,这说明,过去2年,网银木马的数量整体上呈加速增长的趋势。
受感染用户群快速增长
被网银木马感染的国内计算机数量,2004年只有大约60台,2005年约为1100台,2006年前10个月,已经有超过37000台电脑感染过网银木马。(如图2,这些数据仅仅是从安装了江民反病毒软件的计算机中统计出来的,实际数字可能还要多几倍,但数字之间的比例应该不会有太大变化)3年的时间内,被网银木马感染的国内用户数量增长了600倍。
图2
网银木马的常用技术
虚假网站和服务器攻击
黑客首先建立一个酷似网络银行官方网站的假网页,该网页诱骗用户输入帐号密码等信息,或者包含用于种植木马的恶意脚本。然后给假网页申请一个酷似官方网址的域名,等待用户由于拼写错误而连接进来;有时黑客也会花几十元购买一个包含几百万邮箱地址的数据库,然后向这些邮箱发送“钓鱼”(phishing)邮件。邮件内容通常包含煞有其事的文字,引诱用户访问假网页。 无论哪种欺骗方式,一旦用户上当受骗,他们的隐私数据都会被发送到黑客那里。
“证券大盗”(Trojan/PSW.Soufan)的作者就是为他的网页申请了与某知名证券咨询网站类似的域名,并且编写了利用IE浏览器漏洞的恶意脚本,成功的让他的木马感染了大量用户。
有时黑客还会对金融网站服务器直接发起攻击。虽然这种攻击成功的机会不大,但2006年8月,国内某知名证券业网站还是被黑客入侵,该网站上提供下载的所有证券交易客户端软件都被捆绑上了网银木马。
键盘记录
记录用户的键盘输入是网银木马最常用的手段之一。这类木马一般会监视用户正在操作的窗口,如果发现用户正在访问某网银系统的登录页面,就开始记录所有从键盘输入的内容。这种方法很通用也很简单,用于获取网银或者在线游戏的帐号密码时,效果一直很好。
2004年11月的“网银大盗Ⅱ”木马,是一个典型的例子,它把几乎所有的国内网银系统都列为盗窃的目标。在测试中,只有少数提供虚拟键盘技术的登录系统可以避开它。
嵌入浏览器执行
多数网银交易都是通过网页浏览器完成的,嵌入浏览器进程中的恶意代码能够获取用户当前访问的页面地址和页面内容,还能够在用户数据以SSL安全加密方式发送出去之前获取它们。利用这种技术的木马,通常会动态改变用户正在浏览的页面内容,比如增加一段用以获得帐号密码然后发送出去的javascript脚本,或者让浏览器自动打开另外一个恶意的网页。使用网页脚本制作的虚拟键盘,在对付这类木马时会完全失效。
“网银大盗”木马(Trojan/PSW.HidWebMon)就利用了这种技术,它监测到用户正在访问某个引用了安全登录控件的地址时,就会让浏览器自动跳转到另外一个网页。后者看上去和正常登录页面没什么两样,只是没有任何安全登录控件的保护。
对于那些只对交易对话进行验证,而没有对交易过程进行验证的系统,嵌入浏览器的恶意代码甚至可以完全控制一次交易。这样的交易系统只对用户身份进行验证,而在用户身份确定之后无条件的执行任何来自用户的指令。木马可以等到用户验证通过后再开始工作,拦截用户的转账操作,篡改数据后发送给服务器,服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,木马再把服务器返回的信息篡改后显示给用户。目前,这种技术只在国外的一些网银木马上看到,国内尚未发现这样的例子。
屏幕“录像”
有些网银木马的确会进行“录像”,它们并不会生成体积庞大的视频文件,而只是在键盘记录的基础上,额外记录了用户点击鼠标时的鼠标坐标,以及当时的屏幕截图。黑客根据这些数据,可以完全回放出用户在进行交易时敲击了哪些键、点击了哪些按钮、看到了什么结果。
“证券大盗”(Trojan/PSW.Soufan)就是这样的木马,它抓取的屏幕截图是黑白色的,数据量很小,但对于病毒作者来说,这些黑白图片加上键盘鼠标数据已经足够了。
窃取数字证书文件
数字证书是网银交易的一项重要安全保护措施。有些系统允许用户把证书保存成硬盘文件,这是一个安全隐患。2004年9月,TrojanSpy.Banker.s和TrojanSpy.Banker.t的作者仔细观察了某个人银行系统保存证书的整个流程后,编写了木马,他的程序能够准确识别这个流程的每个步骤,自动记录必要的数据,最终再复制一份证书文件。木马作者利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
伪装窗口
2006年,国内出现了一系列新的网银木马,它们都是TrojanSpy.Banker.yy的变种,感染了很多用户。这类木马首先向IE浏览器注入一个DLL,用以监视当前网页的网址,同时记录键盘。当发现用户输入了卡号、密码并进行提交以后,迅速隐藏浏览器,弹出自己的窗口。木马弹出的窗口看上去和在线理财的页面非常相似,并且包含一些“钓鱼”文字:称由于系统维护需要,用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时,木马才会把密码发送给木马作者。伪装成浏览器界面的木马实现简单,虽然技术上听起来比较幼稚,但效果却很好。
上面列举了网银木马的常用手段。实际情况是,大部分网银木马同时采用多种技术来保证窃取过程的成功率和隐蔽性。网上银行业务正在不断的普及、深入和扩展,越来越多的新业务形式正在涌现,比如运行在智能手机上的掌上银行。木马作者们的跟进速度总是很快,可以预见,更多更老练、更有创造性的方法也会在不久的将来被新网银木马所采用。
(责任编辑:韩建光) |