恶意软件使用 Wi-Fi BSSID 来识别受害者

Andrew 2021-01-05
专栏 - 资讯 发布于 2021-01-05 11:03:03 阅读 125 评论 0

恶意软件运营商想要知道他们感染的受害者的位置,通常依靠一种简单的技术,他们获取受害者的IP地址,并检查IP-to-geo数据库,如MaxMind的GeoIP,以获得受害者的大致地理位置。

尽管该技术不是很准确,但是它仍然是根据用户计算机上的数据确定用户实际物理位置的最可靠方法。

然而,SANS Internet Storm Center的安全研究人员Xavier Mertens在上个月的博客文章中表示,他发现了一种新的恶意软件病毒,该病毒在第一种技术之上使用了第二种技术。

第二种技术依赖于获取受感染用户的 BSSID

BSSID被称为“基本服务集标识符”,基本上是用户用来通过WiFi连接的无线路由器或接入点的MAC物理地址。

您可以通过运行以下命令在Windows系统上查看BSSID:

Mertens说,他发现的恶意软件正在收集BSSID,然后将其与由Alexander Mylnikov维护的免费的BSSID-to-geo数据库进行检查。

该数据库是已知BSSID的集合以及它们最后被发现的地理位置。

这些类型的数据库如今相当常见,当用户无法直接访问手机的位置数据时,移动应用运营商通常将其用作跟踪用户的替代方式(即查看Wigle,这是用于这些类型的BSSID到地理转换的最受欢迎的服务之一)。

根据Mylnikov的数据库检查BSSID,可以使恶意软件有效地确定受害者用来访问Internet的WiFi接入点的物理地理位置,这是发现受害者地理位置的一种非常准确的方法。

结合使用这两种方法,恶意软件操作员可以使用第二个BSSID方法来确认初始的基于IP的地理位置查询是正确的。

恶意软件运营商通常会检查受害者所在的位置,因为某些团体只想在特定国家/地区内制造受害者(例如国家资助的行动),或者他们不想感染本国的受害者(以避免引起当地人的注意)执法和避免起诉)。

但是,由于电信公司和数据中心倾向于在自由市场上获取或租用IP地址块,因此IP到地理数据库的结果非常不准确。这导致某些IP块从其初始/实际所有者分配给全球其他地区的不同组织。

使用第二种方法来仔细检查受害者的地理位置的方法目前尚未广泛采用,但这项技术有明显的好处,其他恶意软件操作肯定会欣赏并决定在未来使用。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!