第三方应用程序存在安全隐患

Posted 2020-08-19

最近对一个知名人士经常光顾的、著名的迈阿密运动吧的攻击中，攻击者找到了避开数据丢失防护软件的简单方法。攻击者使用基于内存的rootkit工具安装恶意软件，该恶意软件可以捕获在该运动吧刷卡的信用卡磁条数据。该运动吧没有IT人员，其所有IT需求都是通过外包实现的。更糟糕的是，其收银系统与视频安全系统的DVR（数码录像机）服务器是同一套系统。

“太多的第三方应用程序存在漏洞”。

第三方应用程序还导致国际VoIP服务供应商被攻击者攻破。国际VoIP服务供应商为客户提供了两种付款方式：在线支付或通过销售终端支付。攻击者可以在Ngrep中加入一个网络嗅探器，Ngrep是一款允许用户在网络数据包中搜索正则表达式的工具。该恶意软件将会查找包含信用卡数据的数据包，并在每天固定的时间将其通过FTP发送给攻击者。

在由两名研究人员共同完成的最后一个攻击演示中，一家为美国军方进行数据分析的国防承包商的网络也被一个Adobe PDF零日攻击攻破。攻击者发送一封精心设计的、看起来像是来自行政部门的电子邮件，其内容和签名也与该行政部门日常发送的电子邮件相同。实际上，该邮件的附件是一个被感染的PDF文件。一旦该PDF文件被打开，恶意软件就会窃取受害者计算机中的“我的文档”文件夹内的所有文档，并通过FTP将这些内容上传到攻击者的服务器。

 

攻击者设法在该系统中安装了一个rootkit工具，该rootkit工具只提取包含信用卡号码的磁条数据。在每张信用卡的磁条数据中，信用卡号码与信用卡帐户持有人姓名之间有一个“carrot”字符（“^”）。数据丢失防护软件将这个“^”字符看作是信用卡号码的一部分。该恶意软件的目的就是使用百分号替代这个“^”字符。当包含信用卡号码的数据被传送出去时，数据丢失防护软件永远也查找不到这个“^”字符。

在针对West Coast网上成人书店的攻击中，攻击者设法劫持了一个Web应用程序（该网站所有Web应用程序的开发都是外包的）并安装了一个键盘记录器，以窃取管理页面上的身份验证凭据。令人难以置信的是，该管理页面居然允许文件上传，从而使这样的攻击能够得逞。

为了防止警惕的管理员可能会注意到Windows文件夹中多出来一个新的日志文件，该恶意软件中还包含了一个工具，可以修改新日志文件的时间戳数据，以使其看起来好像是自操作系统安装时就已经存在了。

 “这些攻击防不胜防。我们看到，新的攻击层出不穷，攻击者不断开发新的攻击工具，并为这些攻击工具增加新的高级功能和自动化功能。利用这些自动化功能，攻击者甚至不需要接触要攻击的系统就可以发起攻击。”  

虽然有针对性的攻击可能成为更加流行的攻击方式，但攻击者进入企业网络的手段与一年半前并没有太大区别。键盘记录器、网络嗅探器和内存转储工具仍然是主要的攻击工具，所不同的是攻击者采用了新的手段隐藏其踪迹，以便能够长期开展持续性的攻击。有时候还要注意到有些软件它本身存在的风险，必要时尽量卸载软件，重新下载。