在趋势科技的2013信息安全预测里,我们提到传统的恶意软件会专注于加强现有工具,而非开发新的威胁。可以证明这一预测的好例子就是黑洞漏洞攻击包,这些攻击包会不断地改进自己以绕过安全检测。实际上,我们最近发现了一起黑洞漏洞攻击包会利用一漏洞攻击码(趋势科技命名为JAVA_ARCAL.A)来攻击最近被修补的CVE-2013-0431漏洞。
如果用户还记得,这漏洞是去年1月造成Java零时差攻击活动的一部分。甚至导致Oracle发布非周期性安全更新以快速解决这个问题。只是这个更新程序本身也有些严重的问题。
这个特殊的黑洞漏洞攻击包攻击是从伪装成PayPal的垃圾邮件开始的。当用户点击这封邮件的内容时,会被重定向到数个网站,最终到达藏有加密过攻击程序代码的网页。这些程序代码会检查访客系统是否安装了包含漏洞的Adobe Reader、Flash player和Java。然后决定下载哪个漏洞攻击码(并决定后续攻击方式)到系统中。
图一、伪装成来自PayPal的电子邮件样本
经过趋势科技的测试,这些黑洞攻击包程序代码会检查某些版本的Adobe Reader,并下载执行一个恶意PDF文件(被命名为TROJ_PIDIEF.MEX),随后会攻击一个旧的漏洞CVE-2010-0188。
这些代码还会在受影响系统中检查安装的Java版本,并从一特定网页下载执行JAVA_ARCAL.A。JAVA_ARCAL.A接着会用%user%路径下的command.exe从一特定网址下载并执行TSPY_FAREIT.MEX。这一过程中还会打开另一个网页。根据趋势科技的分析,TSPY_FAREIT.MEX会试图窃取储存在浏览器中的信息,包括Chrome、Mozilla Firefox和Internet Explorer都不放过。最后这些程序代码将访问下列恶意网页,这是为了让用户认为自己只是被重定向到非恶意网站。
图二、感染链的最终目标网页
从趋势科技云计算安全技术的数据中,我们可以看出这起攻击所影响最严重的国家和一些有意思的结果。受影响最严重的国家是美国,其次是墨西哥。这很让人惊讶,因为墨西哥在过去的黑洞漏洞攻击里并没有受到显著影响。面对这次攻击受影响最严重的国家还包括德国、拉脱维亚、日本、澳洲、英国、法国、西班牙和意大利。
这种威胁涉及好几个部分,黑洞攻击包的垃圾邮件攻击可能击倒任何的用户。幸运的是,趋势科技云计算安全技术可以帮助用户防护相关垃圾邮件、网址和恶意软件。
从这次的攻击代码包含CVE-2013-0431可以证明,这种威胁不会在短时间内消失。为了保护好自己避免类似威胁,用户必须要经常保持系统和软件在最新状态。
关于这起威胁里的垃圾邮件部分,重要的是用户和安全管理者都要认识到,一般处理垃圾邮件和钓鱼邮件的最佳实践并不能有效地解决黑洞漏洞攻击包的垃圾邮件攻击。我们之前发布的报告《黑洞漏洞攻击包:一波垃圾邮件攻击活动,而非一连串单独的垃圾邮件》里包含了我们对此类攻击所发现的详情。
网友评论