恶意软件使用WiFi BSSID进行受害者识别
想要了解受感染受害者的位置的恶意软件运营商通常依靠一种简单的技术来获取受害者的IP地址,并对照MaxMind的GeoIP这样的IP到地域数据库进行检查,以获取受害者的大概地理位置。
尽管该技术不是很准确,但它仍然是根据用户在计算机上找到的数据确定用户实际身体位置的最可靠方法。
然而,在上个月的一篇博客文章中,SANS Internet Storm Center的安全研究员Xavier Mertens表示,他发现了一种新的恶意软件菌株,该菌株在第一种技术之上使用了第二种技术。
被称为"基本服务集标识符," BSSID基本上是用户用于通过WiFi连接的无线路由器或接入点的MAC物理地址。
梅滕斯说,他发现的恶意软件正在收集BSSID,然后将其与由亚历山大·梅尔尼科夫(Alexander Mylnikov)维护的免费的BSSID-to-geo数据库进行检查。
该数据库是已知BSSID的集合以及发现它们的最后地理位置。
这些类型的数据库如今非常普遍,移动应用程序运营商通常将其用作跟踪用户无法直接访问电话位置数据的替代方法(例如,参见WiGLE,其中之一)这些类型的BSSID到地理转换的最流行的服务)。
根据Mylnikov的数据库检查BSSID将使恶意软件有效地确定受害者用来访问Internet的WiFi接入点的物理地理位置,这是发现受害者的一种非常准确的方法地理位置。
结合使用这两种方法,恶意软件操作员可以使用第二个BSSID方法来确认初始的基于IP的地理位置查询正确。
恶意软件运营商通常会检查受害者所在的位置,因为某些团体只想在特定国家/地区(例如国家资助的行动)中制造受害者,或者他们不想在自己的祖国感染受害者(以避免引起关注)并避免起诉)。
但是,由于电信公司和数据中心倾向于在自由市场上获取或租借IP地址块,因此IP到地理数据库的结果非常不准确。这导致某些IP块从其初始/实际所有者分配给全球其他地区的不同组织。
使用第二种方法来仔细检查受害人的地理位置目前并未得到广泛采用,但是该技术具有明显的好处,其他恶意软件操作也必定会赞赏并决定将来使用。
