Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

新型诈骗花样多,使用多种混淆方法绕过安全检测

0
0
前言

大家在使用浏览器浏览网页时,很可能会遇到某些伪装成微软或Google的网站,并告诉你你的电脑遇到了某些异常问题,然后让你拨打页面中给出的电话来寻求帮助。虽然目前大多数反病毒产品都能够检测到这种类型的攻击,即技术支持诈骗(TSS),但网络攻击者现在又开始采用各种新的技术来绕过这种安全检测了。


新型诈骗花样多,使用多种混淆方法绕过安全检测
手法解构

网络犯罪分子为了绕过这种安全检测,TSS开发人员设计出了一种脚本混淆技术来呈现页面中的诈骗信息,并绕过检测。这种混淆技术包括Base64编码,开发自定义混淆程序,或者使用AES加密来隐藏脚本以绕过检测引擎。

在对恶意代码进行混淆处理的时候,传统的TSS攻击者一般只注重一种方法。比如说,他们一般会对恶意代码进行实时混淆,或者在线加密(AES)和解密javascript代码。但是根据赛门铁克最新的研究报告,网络犯罪分子再一次升级了他们的技术支持诈骗攻击,为了绕过安全检测,或增加检测难度,他们正在使用多种混淆技术来对恶意脚本代码进行隐藏处理。

赛门铁克的研究人员Chandrayan在报告中写到:“将代码混淆技术应用到技术支持诈骗攻击中,并不是一件新鲜事,但是使用这种多重编码&混淆技术的情况并不多见。一般来说,技术支持诈骗会尝试让基于字符串的检测引擎去对字符串、随机数字或字符来进行检测扫描,但是在大多数场景下这种扫描方式的假阳性会非常高。因此,我们可以认为,这种技术支持诈骗技术使用了现成的编码技术来欺骗反病毒引擎并绕过安全扫描。”

比如说,下面这个是研究人员近期检测到的一个TSS页面,Chandrayan在其中发现了大量经过混淆处理的代码:


新型诈骗花样多,使用多种混淆方法绕过安全检测

上面这段数据接下来会输入到另一个脚本中,而这个脚本会使用atob()这个JavaScript函数来对上述代码进行反混淆处理:


新型诈骗花样多,使用多种混淆方法绕过安全检测

解码之后我们就可以得到一份新的脚本代码,接下来攻击者还会使用AES加密算法来对脚本进行加密。这里使用了热门的代码库CryptoJS来解密这段代码,随后便会将其添加到页面中并呈现技术支持诈骗信息。


新型诈骗花样多,使用多种混淆方法绕过安全检测

值得一提的是,网络犯罪分子所采用的技术支持诈骗攻击策略越来越先进,而且很多攻击者还会将这种技术应用到恶意广告攻击之中。

如果你真的遇到了这种声称你计算机出现问题并要求你拨打帮助电话或下载其他软件的,大家可以直接忽略这个页面或者关闭浏览器就行了。

* 参考来源: bleepingcomputer ,FB小编Alpha_h4ck编译,转载请注明来自CodeSec.Net


Viewing all articles
Browse latest Browse all 12749