2012年11月22日 星期四

惡意程式利用Google Docs當代理伺服器


惡意程式利用Google Docs當代理伺服器

Google Docs的「檢視」功能不但可以透過瀏覽器檢視各種不同的檔案內容,而且會自動擷取來源資料的URL。病毒作者這麼做顯然是想透過間接的C&C連線以隱藏行蹤,而且由於Google docs的連線採用HTTPS加密協定,因此很難在本機端欄阻。



賽門鐵克(Symantec)近日發現,一隻名為Backdoor.Makadocs 的木馬程式竟然利用Google Docs的「檢視」功能而將這個線上文書服務做為Proxy server(代理伺服器),藉以隱藏其命令控制伺服器(C&C server)的蹤跡。

賽門鐵克研究人員Takashi Katsuki表示,原本以為這只是一隻普通木馬,就是利用C&C伺服器搜集受感然電腦的主機名稱和作業系統等資訊,然後遠端執行命令控制受害電腦。比較特別之處只在於這隻木馬似乎鎖定Windows 8和Windows Server 2012。

但研究人員後來發現,這隻病毒是在Windows 8發表之前就已存在,而且近期才更新。但更新之後也沒有使用到Windows 8的特殊功能。接著又發現到它有個相當獨特之處:Makadocs木馬並不直接與C&C伺服器連結,而是透過Google Docs作為代理伺服器。

Takashi Katsuki表示,Google Docs的「檢視」(viewer)功能不但可以透過瀏覽器檢視各種不同的檔案內容,而且會自動擷取來源資料的URL。病毒作者這麼做顯然是想透過間接的C&C連線以隱藏行蹤,但這麼做違反了Google docs的使用政策。由於Google docs的連線採用的是HTTPS的加密協定,因此很難在本機端(local)欄阻。Google則可以利用防火牆來防止這種連線。

該木馬附於RTF(豐富文件檔案)格式的檔案中,並以一些有趣的檔名標題來吸引使用者點選,目前鎖定的只有巴西市場,感染數量還相當稀少。Google發言人則回覆媒體詢問表示,如果濫用情況造成問題,Google將會阻檔其濫用行為。(編譯/郭和杰)

轉載自《iThome》

沒有留言:

張貼留言