標籤: 社群網站

將所有 HTTP 流量加密，一直是資安界長久以來的努力目標，但這其中必須面臨兩大障礙。首先，憑證不是免費的，而許多網站經營者並不想多花錢；其次，憑證本身並非網站經營者能夠自行產生。

為此，網路上出現了一個叫做「Let’s Encrypt」的計畫，其成立宗旨就是要消除這兩大障礙。該計畫的目標是要免費提供憑證給所有的網站，並且透過一套網站伺服器軟體來盡可能將申請程序自動化。該計畫已獲得許多網路大廠及非營利組織的支持，包括：Akamai、Cisco、Electronic Frontier Foundation (EFF)、Facebook、Mozilla 等等。不過，Let’s Encrypt 僅提供網域認證 (DV) 憑證，而非延伸認證 (EV) 憑證，後者須針對網站經營者做進一步的背景調查才能簽發。

不幸的是，這樣的免費服務也有可能遭人濫用。從去年 12 月 21 日起，我們開始偵測到某惡意廣告伺服器的流量，其受害使用者大多來自日本。這項攻擊行動會讓受害者連上散布 Angler 漏洞攻擊套件的網站，進而下載一個銀行木馬程式 (BKDR_VAWTRAK.AAAFV) 到受害者電腦上。

圖 1：某惡意廣告伺服器的每日流量。

趨勢科技認為這項攻擊行動其實是去年 11月首次出現的一項惡意廣告行動 (同樣針對日本使用者) 的延續。

在這項攻擊當中，歹徒運用了一個稱為「影子網域」(domain shadowing) 的技巧。駭客先想辦法在某個正常的網域底下建立一個子網域，然後將子網域指向駭客所掌控的伺服器。在這次的案例中，駭客在某個正常的網域底下建立了一個子網域：ad.{某正常網域}.com。此處我們刻意不公開其網域名稱，好讓該公司的系統管理員能夠修正此問題。

連上這個子網域的流量就是採用 Let’s Encrypt 簽發的憑證來進行 HTTPS 連線，如下所示：

圖 2：Let’s Encrypt 簽發的 SSL 憑證。 繼續閱讀