恶意软件使用WiFi BSSID来识别受害者

  • A+
所属分类:安全闲碎

更多全球网络安全资讯尽在邑安全

恶意软件作者正在使用WiFi AP MAC地址(也称为BSSID)作为对受感染主机进行地理定位的方法。

恶意软件使用WiFi BSSID来识别受害者


想要知道他们感染的受害者位置的恶意软件运营商通常依靠一种简单的技术,即他们抓住受害者的IP地址,并通过IP-to-geo数据库(例如MaxMind的GeoIP)对其进行检查,以获取受害者的大致地理位置。尽管该技术不是很准确,但是它仍然是根据用户计算机上的数据确定用户实际物理位置的最可靠方法。

但是, SANS Internet Storm Center的安全研究人员Xavier Mertens在上个月的 博客文章中表示,他发现了一种 新的恶意软件病毒 ,该病毒在第一种技术之上使用了第二种技术。

第二种技术依赖于获取受感染用户的 BSSID。BSSID被称为“基本服务集标识符”,基本上是用户用来通过WiFi连接的无线路由器或接入点的MAC物理地址。您可以通过运行以下命令在Windows系统上查看BSSID:

netsh wlan显示接口| 找到“ BSSID”


Mertens说,他发现的恶意软件正在收集BSSID,然后将其与 Alexander Mylnikov维护的 免费的BSSID-geo数据库进行比较。该数据库是已知BSSID的集合以及发现它们的最后地理位置。这些类型的数据库如今非常普遍,移动应用程序运营商通常将其用作跟踪用户无法直接访问手机位置数据的替代方法(例如,参见 WiGLE,这是用于以下方面的最受欢迎的服务之一)这些类型的BSSID到地理位置的转换)。

根据Mylnikov的数据库检查BSSID,可以使恶意软件有效地确定受害者用来访问Internet的WiFi接入点的物理地理位置,这是发现受害者地理位置的一种非常准确的方法。结合使用这两种方法,恶意软件操作员可以使用第二个BSSID方法来确认初始的基于IP的地理位置查询是正确的。恶意软件运营商通常会检查受害者所在的位置,因为某些团体只想在特定国家/地区内制造受害者(例如国家资助的行动),或者他们不想感染本国的受害者(以避免引起当地人的注意)执法和避免起诉)。

但是,由于电信公司和数据中心倾向于在自由市场上获取或租借IP地址块,因此IP到地理数据库的结果非常不准确。这导致某些IP块从其初始/实际所有者分配给全球其他地区的不同组织。

如今,使用第二种方法来仔细检查受害者的地理位置的方法目前尚未广泛采用,但是该技术具有明显的好处,其他恶意软件操作也必定会赞赏并决定将来使用。

原文来自: t00ls

原文链接: https://www.t00ls.net/articles-59220.html

欢迎收藏并分享朋友圈,让五邑人网络更安全

恶意软件使用WiFi BSSID来识别受害者

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):恶意软件使用WiFi BSSID来识别受害者

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: