前言
大家在使用瀏覽器瀏覽網頁時,很可能會遇到某些僞裝成微軟或Google的網站,並告訴你你的電腦遇到了某些異常問題,然後讓你撥打頁面中給出的電話來尋求幫助。雖然目前大多數反病毒產品都能夠檢測到這種類型的攻擊,即技術支持詐騙(TSS),但網絡攻擊者現在又開始採用各種新的技術來繞過這種安全檢測了。xise
手法解構
網絡犯罪分子爲了繞過這種安全檢測,TSS開發人員設計出了一種腳本混淆技術來呈現頁面中的詐騙信息,並繞過檢測。這種混淆技術包括Base64編碼,開發自定義混淆程序,或者使用AES加密來隱藏腳本以繞過檢測引擎。http://caidaome.com/
在對惡意代碼進行混淆處理的時候,傳統的TSS攻擊者一般只注重一種方法。比如說,他們一般會對惡意代碼進行實時混淆,或者在線加密(AES)和解密JavaScript代碼。但是根據賽門鐵克最新的研究報告,網絡犯罪分子再一次升級了他們的技術支持詐騙攻擊,爲了繞過安全檢測,或增加檢測難度,他們正在使用多種混淆技術來對惡意腳本代碼進行隱藏處理。騰訊分分彩
賽門鐵克的研究人員Chandrayan在報告中寫到:“將代碼混淆技術應用到技術支持詐騙攻擊中,並不是一件新鮮事,但是使用這種多重編碼&混淆技術的情況並不多見。一般來說,技術支持詐騙會嘗試讓基於字符串的檢測引擎去對字符串、隨機數字或字符來進行檢測掃描,但是在大多數場景下這種掃描方式的假陽性會非常高。因此,我們可以認爲,這種技術支持詐騙技術使用了現成的編碼技術來欺騙反病毒引擎並繞過安全掃描。”
比如說,下面這個是研究人員近期檢測到的一個TSS頁面,Chandrayan在其中發現了大量經過混淆處理的代碼:http://tatawed.com/
上面這段數據接下來會輸入到另一個腳本中,而這個腳本會使用atob()這個JavaScript函數來對上述代碼進行反混淆處理:
解碼之後我們就可以得到一份新的腳本代碼,接下來攻擊者還會使用AES加密算法來對腳本進行加密。這裏使用了熱門的代碼庫CryptoJS來解密這段代碼,隨後便會將其添加到頁面中並呈現技術支持詐騙信息。
值得一提的是,網絡犯罪分子所採用的技術支持詐騙攻擊策略越來越先進,而且很多攻擊者還會將這種技術應用到惡意廣告攻擊之中。
如果你真的遇到了這種聲稱你計算機出現問題並要求你撥打幫助電話或下載其他軟件的,大家可以直接忽略這個頁面或者關閉瀏覽器就行了。