10月21日�����,遭到黑客攻擊后�����,半個(gè)美國(guó)的網(wǎng)站出現(xiàn)了短暫癱瘓的狀況���。然而���,來(lái)自網(wǎng)絡(luò)的安全威脅還不僅僅這些�,隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展�、智能手機(jī)的普及,移動(dòng)端的威脅開(kāi)始從針對(duì)個(gè)人擴(kuò)展到針對(duì)企業(yè)�����。日前�����,360手機(jī)衛(wèi)士對(duì)一種名為“DressCode”的惡意代碼進(jìn)行了解析�����,這種于Android端發(fā)現(xiàn)的高級(jí)攻擊階段木馬能夠?qū)崿F(xiàn)內(nèi)網(wǎng)穿透�,目前傳播量已達(dá)24萬(wàn)之多,危及幾乎全部國(guó)家手機(jī)用戶���,嚴(yán)重影響企業(yè)內(nèi)網(wǎng)安全�����。
“DressCode”穿透內(nèi)網(wǎng)竊隱私數(shù)據(jù) Android木馬邁向高階段位
360烽火實(shí)驗(yàn)室研究發(fā)現(xiàn)有數(shù)千個(gè)樣本感染了一種名為“DressCode”的惡意代碼�,其利用時(shí)下流行的SOCKS代理反彈技術(shù)能夠突破內(nèi)網(wǎng)防火墻限制,竊取內(nèi)網(wǎng)數(shù)據(jù)����。其實(shí)�����,在PC端這種通過(guò)代理穿透內(nèi)網(wǎng)繞過(guò)防火墻的手段并不新鮮�,然而此次以手機(jī)終端為跳板實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的滲透尚屬首次。
圖1: “DressCode”攻擊過(guò)程
“DressCode”惡意程序的木馬主要攻擊過(guò)程分為三步:木馬運(yùn)行時(shí)主動(dòng)連接到攻擊者主機(jī)(SOCKS客戶端)���,建立一個(gè)與攻擊者對(duì)話的代理通道;作為SOCKS服務(wù)端的木馬根據(jù)攻擊者傳來(lái)的目標(biāo)內(nèi)網(wǎng)服務(wù)器的IP地址和端口��,連接目標(biāo)應(yīng)用服務(wù)器;木馬在攻擊者和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)��,進(jìn)行通信����。
圖2:“DressCode”轉(zhuǎn)發(fā)數(shù)據(jù)過(guò)程
當(dāng)木馬感染目標(biāo)手機(jī)后�,首先會(huì)連接C&C服務(wù)器,連接成功后�,那么木馬就與C&C服務(wù)器建立了一個(gè)對(duì)話通道,木馬會(huì)讀取C&C服務(wù)器傳送過(guò)來(lái)的指令,當(dāng)木馬收到以“CREATE”開(kāi)頭的指令后�����,就會(huì)連接攻擊者主機(jī)上的SOCKS客戶端�,攻擊者與處于內(nèi)網(wǎng)中的木馬程序建立了信息傳輸?shù)耐ǖ懒恕6笤佾@取CONNECT指令���、BIND指令對(duì)FTP服務(wù)器進(jìn)行攻擊���。如此一來(lái),就能實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)文件服務(wù)器的數(shù)據(jù)竊取����。
逾200國(guó)家用戶受到威脅 360安全專(zhuān)家提供安防建議
360烽火實(shí)驗(yàn)室公布數(shù)據(jù)顯示,截至目前�,“DressCode”惡意代碼傳播量已達(dá)24萬(wàn)之多,已有200余國(guó)家的手機(jī)用戶感染了帶有“DressCode”惡意代碼的應(yīng)用��,幾乎覆蓋全球�。360手機(jī)衛(wèi)士安全專(zhuān)家表示,該惡意代碼大多寄宿在時(shí)下流行的手機(jī)游戲中�,其擴(kuò)散能力很強(qiáng),其中美國(guó)���、俄羅斯���、德國(guó)�����、發(fā)過(guò)等歐美發(fā)達(dá)國(guó)家屬重災(zāi)區(qū)�����,而我國(guó)的形勢(shì)也不容樂(lè)觀,企業(yè)內(nèi)網(wǎng)安全正在遭受前所未有的挑戰(zhàn)�。
圖3:“DressCode”全球感染情況
對(duì)此,360手機(jī)衛(wèi)士安全專(zhuān)家表示�,“DressCode”惡意代碼具備強(qiáng)穿透能力、地域分布亦十分廣泛�����,已對(duì)內(nèi)網(wǎng)安全構(gòu)成潛在威脅���。針對(duì)此類(lèi)情況��,建議企業(yè)應(yīng)做好防范措施����,首先嚴(yán)格限制不可信的智能終端設(shè)備接入公司內(nèi)部網(wǎng)絡(luò),對(duì)要接入公司內(nèi)網(wǎng)的終端設(shè)備進(jìn)行身份認(rèn)證����,其次建議企業(yè)的智能終端設(shè)備不應(yīng)與企業(yè)內(nèi)部服務(wù)器處于同一個(gè)局域網(wǎng)段內(nèi)。
同時(shí)�����,也建議手機(jī)用戶提高安全意識(shí)���,從正規(guī)的安卓應(yīng)用商店下載手機(jī)應(yīng)用�,不安裝來(lái)歷不明的應(yīng)用軟件���?墒褂360手機(jī)衛(wèi)士等手機(jī)安全管理類(lèi)軟件,可有效為用戶識(shí)別山寨�����、木馬應(yīng)用�����,避免受到侵襲,定期查殺手機(jī)病毒也可防患于未然���。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作�����,風(fēng)險(xiǎn)自擔(dān)��。
京公網(wǎng)安備 11010502041587號(hào)