专栏首页FreeBuf警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序

WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和TrueCrypt安装程序会在我们的电脑中植入恶意程序,窃取电脑硬盘信息和隐私人信息。

矛盾之争

WinRAR采用AES-256位加密技术对文件进行加密,TrueCrypt则是一个全盘加密工具。两者都对文件提供强大、可靠的加密。照理说,不应该出现什么问题的啊。但问题确实发生了。

据卡巴斯基实验室的报告称,他们在WinRAR和TrueCrypt的安装程序中发现了一个来自StrongPit团队的新恶意程序,这个程序会在用户安装后启动。

对于StrongPit,相信大家应该是有耳闻,已经在黑客行业耕耘多年,而最近,他们又迷上了用户的加密工具。这个团队主要是采用Watering-Hole、感染安装程序、以及恶意程序等对用户的加密软件进行攻击,也算是一个老油条了。该团队曾在过去发起过zero-day attack(零日攻击,针对没有补丁的漏洞的攻击)。通过对他们的研究发现,这个团队存在以下特点:

1.决定无比正确, 2.资源十分丰富, 3.而且方式较新, 4.完全不计后果。

如何实现攻击?

StrongPity通过建立一个与合法网站相似度极高的网站下载站点,欺骗用户下载含有恶意程序的加密应用,攻击者在数据加密未完成之前就获得了完整的数据。

除了基本的钓鱼攻击外,攻击者甚至还劫持了WinRAR和TrueCrypt的相关域名,替换了WinRAR和TrueCrypt安装程序文件的原本链接。如果用户点击了这个下载链接,就会在神不知鬼不觉中下载恶意程序。一旦恶意程序被安装,它就会控制整个系统,进而获得各种敏感数据。

卡巴斯基表示:

在今年的攻击中,StrongPity抛弃了以往的ICS或SCADA攻击。而是通过模仿WinRAR的合法网站建立了一个域名为ralrab.com的网站,然后将合法网站的推荐按钮链接到含有恶意程序的网站上,让用户下载含有恶意程序的安装软件。当然,其他链接则正常链接到合法软件。

StrongPity提供了32位和64位的法语和荷兰语版本供下载:

hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe hxxp://www.ralrab[.]com/rar/wrar531.exe hxxp://www.ralrab[.]com/rar/wrar531fr.exe hxxp://www.ralrab[.]com/rar/wrar531nl.exe hxxp://ralrab[.]com/rar/winrar-x64-531.exe hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe hxxp://ralrab[.]com/rar/wrar531fr.exe hxxp://ralrab[.]com/rar/wrar531nl.exe hxxp://ralrab[.]com/rar/wrar53b5.exe

ralrab.com上含有恶意程序的安装文件

StrongPity这种下载程序标榜着“非同寻常的数字证书”,但是他们并没有重用这种虚假的数字证书。这种程序的下载组件包括一个后门、键盘记录器、数据盗取器和其他的软件程序,包括putty SSH客户端、服务器源代码分析(filezilla FTP)客户端、Wnscp安全文件传输程序和远程桌面客户端。

范围广,危害大

卡巴斯基实验室的报告数据显示,今年就有超过1000种系统被这种程序影响。影响范围也比较广,欧洲、中东甚至非洲都未能幸免。意大利、土耳其、比利时、阿尔及利亚和法国是其中受影响最为严重的。

winrar[.]it StrongPity component geolocation distribution

在差不多的时间范围内,有超过60个旅游者发现他们的网站从winrar.be变为了ralrab.com,而且都是位于一个国家。在5月25至6月初这段时间内,受害国家主要集中为阿尔及利亚、摩洛哥、荷兰、加拿大、科特迪瓦和突尼斯。

winrar[.]be StrongPity component geolocation distribution

这个团队在2015年年底才开始部署Truecrypt-themed 的Watering hole,但在今年的夏末,这种攻击方式就已经开始暴发。他们建立了一个直接从TrueCrypt的合法网站拉取信息的网站。7月中旬到9月初,很多土耳其和荷兰的用户发现他们的网站从tamindir.com导向了true-crypt.com。

tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects

而在该网站(true-crypt.com)的底部,也有一些链接指向含有恶意程序的安装文件:

hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe

而WinRAR的情况则有点特殊。黑客并不是直接将WinRAR的网站导向黑客控制的网站,而是劫持了合法网站winrar.it,将受害者引导至含有恶意程序版本的网站。winrar.it对意大利影响最为严重,其他欧洲国家也受到了一定的影响;而winrar.be则对加拿大、荷兰等国家造成了影响。

Download page, winrar[.]it

在卡巴斯基研究人员的进一步测试中发现,这个恶意下载程序不仅能让黑客控制系统,更能让他们窃取硬盘里的内容,同时,还能下载其他的恶意程序来窃取用户的联系人信息。换句话说,只要他们愿意,你的电脑就没有秘密,他们可以随时检索你的私人数据和交流信息。所以,这种程序影响是深远的。

借用卡巴斯基研究员Kurt Baumgartner的话来说就是“WinRAR的经销商非常幸运,因为这个恶意程序已经被移除。而且它是通过伪安装程序链接到他们的网站的。”

一个被通过winrar安装程序传播的网站

尽管WinRAR已经将它们移除,但一个TrueCrypt经销商的网站还能在受害者的设备中安装这种恶意程序。这个恶意程序通过经销商的网站已经在土耳其扩散并影响了相当多的用户。

如何应对?

我们中国有句老叫做“兵来将挡水来土掩”,既然事情已经发生了,我们就要在行动中注意。

卡巴斯基的安全团队也给了我们衷告:

“When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers”。

大概就是,在浏览或者下载可加密站点时,必须要对网站有效性和文件的完整性进行验证,养成良好的习惯。而对于下载站点来说,最好是采用PGP协议和强数字密码签名来保护用户的安全。

卡巴斯基研究报告下载链接:<点击阅读原文查看>

* 参考来源:hackread ,thehackernews,threatpost,FB小编latiaojun编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:latiaojun

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-10-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 技术分享:MSSQL注入xp_cmdshell

    存储过程为数据库提供了强大的功能,其类似UDF,在MSSQL中xp_cmdshell可谓臭名昭著了。MSSQL强大的存储过程也为黑客提供了遍历,在相应的权限下,...

    FB客服
  • 内网渗透测试:内网横向移动基础总结

    在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击...

    FB客服
  • 用BurpSuite实现越权漏洞(IDOR)的自动发现识别

    这里分享一个自动化发现IDOR(越权)漏洞的方法,那就是在BurpSuite中利用Autozie和Autorepeater插件实现IDOR漏洞的探测识别,而无需...

    FB客服
  • 神经网络ANN——SPSS实现

    传统线性回归模型可通过最小平方方法获取知识并在回归系数存储知识。在此意义下,其为神经网络。实际上,您可以证明线性回归为特定神经网络的特殊个案。但是,线性回归具有...

    素质
  • Spring源码分析_01_ idea搭建spring源码阅读环境

    shirayner
  • RTSP协议视频平台EasyNVR接入到EasyNVS管理平台后无法显示RTMP及RTSP视频流地址问题

    EasyNVS视频综合管理平台能够对接入的EasyNVR进行统一的管理,获取EasyNVR的所有能力,并进行互联网化输出,同时进行统一化的管理和接口输出。

    EasyNVR
  • wordpress建站的预算一般是多少?看看这份预算清单

    wordpress建站的预算一般是多少?这个问题很难有一个确切的答案,如果什么都不考虑,几乎可以0元建站的,比如在自己的电脑上安装wordpress,或者是去找...

    wordpress建站吧
  • PJS:音素平衡的日语歌唱语音语料库(CS S)

    本文提出了一个免费的日语歌唱语音语料库,可用于具有高度实用性和可复制性的歌唱语音合成研究。歌唱语音语料库有助于歌唱语音合成的发展,但现有的语料库存在两个关键问题...

    蔡秋纯
  • 一个较为健壮的下单方案

    这个流程中需要保证扣除积分后,能够为成功为用户下单。一个服务的调用会出现三种状态:成功、失败、超时。超时的情况下,是无法确定下单是否真正成功的,这时要避免重试时...

    Tencent JCoder
  • 【python学习】windows下安装

    本来打算在pycharm里面开发python web,发现mysql驱动没有,就想去安装一个MySQLdb

    py3study

扫码关注云+社区

领取腾讯云代金券