连续6年不跑路的安全速度最适合国人VPN
2020年9月21日,研究人员观察到,数字攻击者将一个免费的虚拟私人网络(VPN)和广告拦截服务的安装程序与后门捆绑在一起,旨在窃取受害者的数据。
VPN漏洞:来自恶意源的可疑文件
趋势科技发现了一次攻击尝试,用户在下载看似来自VPN提供商官方下载中心的Windscribe安装程序时,实际上却是从其他来源下载的。这个捆绑包确实包含了真实的Windscribe安装程序,但同时也包含了一个恶意文件(lscm.exe),该文件包含了VPN后门,以及一个用于运行该文件的应用程序(win.vbs)。
当用户打开这个捆绑的应用程序时,Windscribe安装屏幕会在受害者的计算机上弹出。这种行为让用户觉得没有任何可疑之处——至少在表面上看是这样。捆绑应用程序在后台调用了win.vbs。完成这个步骤后,它运行了lscm.exe,趋势科技检测到这个文件被称为“Trojan.MSIL.BLADABINDI.THIOABO”。
此步骤导致该文件从一个网站下载其有效负载。接下来,该位置将用户引导到另一个页面,以下载一个名为“Dracula.jpg”的文件。解密该文件后,趋势科技发现VPN后门有效负载,研究人员将其检测为“Backdoor.MSIL.BLADABINDI.THA”。成功安装此后门后,攻击者能够下载、执行和上传文件,并截取受害者屏幕的截图。
这个有效负载还收集了感染计算机上运行的防病毒产品列表,以及计算机名称、操作系统和用户名。然后,它将这些数据发送到攻击者控制的服务器。
其他涉及VPN安全和后门的攻击
恶意行为者以前曾发起涉及VPN安全和后门的攻击。2019年8月,网站Dr. Web检测到一项活动,数字罪犯创建了流行软件的假网站。他们的目标包括知名的VPN服务NordVPN。这些网站欺骗访问者下载他们认为是合法的应用程序。实际上,他们下载的是样本Win32.Bolik.2,这种木马旨在窃取数据、记录按键、拦截流量并执行其他恶意功能。
不到一年后,ClearSky研究团队披露,他们发现了一项名为“Fox Kitten Campaign”的攻击性数字行动。伊朗APT团体利用VPN漏洞以及远程桌面协议(RDP)服务来获得立足点。通过这种方式,他们可以进入全球数十家公司的网络,并利用这种访问权限窃取受害者的数据。
关于上述BLADABINDI活动的消息传出之际,网络搜索“VPN”一词的数量缓慢上升。谷歌透露,这些搜索在去年的二月和三月达到了峰值,因为全球许多组织将员工转移到远程工作,以实施社交距离。
VPN安全提示
鉴于VPN使用的增加,组织需要保护自己免受假VPN安装程序的攻击。组织可以通过制定安全政策,禁止员工从可疑网站下载VPN,来实现这一目标。这些政策还应清楚地定义与IT合作的流程,以引入批准的硬件/软件来确保VPN安全,从而最小化阴影IT带来的风险。
与此同时,实体应建立防护措施,以帮助检测恶意行为者。具体来说,他们可以监控以确保没有人能够在企业网络中横向移动。此外,他们可以阻止后门,防止恶意行为者窃取数据,并使用监控工具密切关注网络上的可疑活动,以增强VPN安全性。
通过以上的内容,用户可以更好地了解VPN的安全风险及其防护措施,为自己的网络安全提供保障。
