前面所提的这个网站会出现内建框架,将用户定向到另一个位于巴西的已经被攻破的网站。这个网站会执行一个名为JAVA_DLOAD.ZZC的恶意Java程序,JAVA_DLOAD.ZZC则会利用Java漏洞CVE-2011-3544给系统中安装安装TROJ_PPOINTER.SM,这是一个木马程序,该程序会继续产生BKDR_PPOINTER.SM。接着BKDR_PPOINTER.SM会连接到特定网址,接收攻击者所下达的命令。此外这个程序还能收集被感染系统内的特定信息。
根据趋势科技的调查,这家国际人权组织虽然是最先被攻击的,但只是目标之一,而该攻击本身就可以识别不同的攻击目标。我们研究了相关的文件和网址,发现有关人权组织的字符串出现在被黑掉的巴西网站的文件和文件夹名称中:
hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.html
hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.jar
此外,从上述网址所获得的程序代码也显示,这是针对该人权组织所专门定制的攻击程序,因为程式代码内出现了相关的字串:
趋势科技研究了这些蛛丝马迹,发现在同一被黑网站上的其他文件夹和文件的名称使用各类不同的字符串。因此这就很有力地证明还存在其他攻击目标。
hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.html
hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.jar
hxxp://{BLOCKED}.com.br/cgi-bin/so/so.html
hxxp://{BLOCKED}.com.br/cgi-bin/so/so.jar
hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.html
hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.jar
从这些网址所获取的文件相关字符串也出现在程序代码中,这就和前面所提到的AI例子一样。这些恶意文件都被命名为JAVA_DLOAD.ZZC和BKDR_PPOINTER.SM。
趋势科技的主动式云端截毒服务可以针对这种类型的攻击提供防护。此外,DeepSecurity和OfficeScan以及IntrusionDefenseFirewall附加程序则可以用规则“OracleJavaSERhinoScriptEngineRemoteCodeExecutionVulnerability”保护用户不被该漏洞攻击。同时,当网络流量中出现BKDR_PPOINTER.SM,并检测到外传信息的行为时,威胁检测系统会将其识别为HTTP_REQUEST_PPOINTER。
在过去几个月内,这个被入侵的人权组织首页已经多次被当作目标,这也证明了网络犯罪份子是多么坚定地针对这家网站的访客进行攻击。在撰写本文时,该网站已经将恶意程序代码清除了。对于这些有特定主题的网站来说,因为网站访客多半是特定群体的用户或团体,因此也就容易变成针对性攻击的目标。所以网站所有者在面对攻击时也要和公司企业一样谨慎。
网友评论