昨天，两位研究人员在黑帽大会上拉开了有针对性的恶意软件攻击的帷幕，演示了依靠各种攻击手段实现的攻击，这些手段包括从零日PDF攻击到基于内存的rootkit攻击。在当天举行的四场演示中，每种攻击都进行了精心设计，其目的在于攻破目标公司，而且还在恶意软件中增加了新功能，以避开已经部署的检测保护系统，或者使网络安全取证调查人员无法取证。

　　数据安全和支付卡行业合规性管理解决方案提供商Trustwave公司的安全研究机构SpiderLabs的高级副总裁Nick Percoco指出，“定制恶意软件是攻击取得成功的关键，稳扎稳打是攻击取得成功的重要因素。攻击者既没有急于求成，也没有采用什么龌龊伎俩。攻击的持续性至关重要，攻击者必须不断发起并保持攻击。”

　　有针对性的、持续性的攻击一直是今年的主要攻击方式。谷歌及其他30多家技术公司、大型企业和美国国防承包商先后承认，黑客已经渗透其网络，利用先进的攻击技术秘密窃取了其敏感数据。这些攻击还创造了一个新的安全术语：高级持续性威胁（Advanced Persistent Threat，APT）。

　　虽然有针对性的攻击可能成为更加流行的攻击方式，但攻击者进入企业网络的手段与一年半前并没有太大区别。键盘记录器、网络嗅探器和内存转储工具仍然是主要的攻击工具，所不同的是攻击者采用了新的手段隐藏其踪迹，以便能够长期开展持续性的攻击。

　　Percoco与其同事、Trustwave公司资深取证调查员Jibran Ilyas同时指出，在许多情况下，攻击者可以在众目睽睽之下隐藏其踪迹。例如，他们使用可信赖的方式（例如FTP、HTTP和SMTP）将数据从企业传送出去。防火墙不会将HTTP流量标记为异常，而如果流量使用大于31337的TCP端口传送时，防火墙将会产生告警。

　　在其他情况下，例如在最近对一个知名人士经常光顾的、著名的迈阿密运动吧的攻击中，攻击者找到了避开数据丢失防护软件的简单方法。攻击者使用基于内存的rootkit工具安装恶意软件，该恶意软件可以捕获在该运动吧刷卡的信用卡磁条数据。该运动吧没有IT人员，其所有IT需求都是通过外包实现的。更糟糕的是，其收银系统与视频安全系统的DVR（数码录像机）服务器是同一套系统。

　　攻击者设法在该系统中安装了一个rootkit工具，该rootkit工具只提取包含信用卡号码的磁条数据。在每张信用卡的磁条数据中，信用卡号码与信用卡帐户持有人姓名之间有一个“carrot”字符（“^”）。数据丢失防护软件将这个“^”字符看作是信用卡号码的一部分。该恶意软件的目的就是使用百分号替代这个“^”字符。当包含信用卡号码的数据被传送出去时，数据丢失防护软件永远也查找不到这个“^”字符。

　　在针对West Coast网上成人书店的攻击中，攻击者设法劫持了一个Web应用程序（该网站所有Web应用程序的开发都是外包的）并安装了一个键盘记录器，以窃取管理页面上的身份验证凭据。令人难以置信的是，该管理页面居然允许文件上传，从而使这样的攻击能够得逞。

　　为了防止警惕的管理员可能会注意到Windows文件夹中多出来一个新的日志文件，该恶意软件中还包含了一个工具，可以修改新日志文件的时间戳数据，以使其看起来好像是自操作系统安装时就已经存在了。

　　Percoco指出，“太多的第三方应用程序存在漏洞”。

　　第三方应用程序还导致国际VoIP服务供应商被攻击者攻破。国际VoIP服务供应商为客户提供了两种付款方式：在线支付或通过销售终端支付。攻击者可以在Ngrep中加入一个网络嗅探器，Ngrep是一款允许用户在网络数据包中搜索正则表达式的工具。该恶意软件将会查找包含信用卡数据的数据包，并在每天固定的时间将其通过FTP发送给攻击者。

　　在由两名研究人员共同完成的最后一个攻击演示中，一家为美国军方进行数据分析的国防承包商的网络也被一个Adobe PDF零日攻击攻破。攻击者发送一封精心设计的、看起来像是来自行政部门的电子邮件，其内容和签名也与该行政部门日常发送的电子邮件相同。实际上，该邮件的附件是一个被感染的PDF文件。一旦该PDF文件被打开，恶意软件就会窃取受害者计算机中的“我的文档”文件夹内的所有文档，并通过FTP将这些内容上传到攻击者的服务器。

　　Percoco表示，“这些攻击防不胜防。我们看到，新的攻击层出不穷，攻击者不断开发新的攻击工具，并为这些攻击工具增加新的高级功能和自动化功能。利用这些自动化功能，攻击者甚至不需要接触要攻击的系统就可以发起攻击。”