Watering Hole(水坑)水坑和零時差攻擊

「Watering Hole(水坑)」是用來描述針對性惡意軟體攻擊時,攻擊者入侵合法網站去插入一個「drive-by(偷渡式)」漏洞攻擊碼以攻擊網站訪客的流行用語。

當然,這種攻擊並不是新的。這項技術一直被網路犯罪份子用在無差別攻擊以及針對性惡意軟體攻擊上。我在二〇〇九年二〇一〇年記錄了這種技術,而這裡有更多最近的例子

雖然網路犯罪份子利用「drive-by(偷渡式)」漏洞攻擊碼是為了能夠不分對象地攻擊入侵越多的電腦,而使用這技術的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動被Shadowserver恰當地描述為「策略式網站入侵」。目標的選擇是針對攻擊對象會感興趣的特定內容。這種攻擊通常會結合新的「drive-by(偷渡式)」漏洞攻擊碼。

最近,一個影響微軟Internet Explorer的零時差漏洞攻擊碼被發現在跟Nitro攻擊活動有關的伺服器上,和最近用來提供Java零時差漏洞攻擊碼是同一台伺服器。它們的有效負荷(Payload)都是Poison Ivy。第二個放有Internet Explorer零時差漏洞攻擊碼的網站很快就被發現,不過它的有效負荷(Payload)是PlugX

整體而言,我們已經發現了至少十九個網站包含IE零時差漏洞攻擊碼。雖然無法完全的確認,但至少有部分網站屬於「水坑」攻擊。

 

{BLOCKED}h2.mysoft.tw
{BLOCKED}tix.com
get.{BLOCKED}s.com
ie.{BLOCKED}1.co.uk
info.{BLOCKED}u.edu.tw
invitation.{BLOCKED}as.com
{BLOCKED}fessional-symposium.org
{BLOCKED}o.konkuk.ac.kr
service.{BLOCKED}a.com.tw
{BLOCKED}k.vip-event.info
update.{BLOCKED}alive.com
w3.{BLOCKED}u.edu.tw
www.as.{BLOCKED}e.edu.tw
www.{BLOCKED}news.in
www.{BLOCKED}gameshow.com
www.{BLOCKED}e.com
www.{BLOCKED}a.org.tw
www.{BLOCKED}sia.tv
www.{BLOCKED}in.com.tw

有趣的是,這十九個網站可以分成十四組。換言之,除了利用此漏洞的共同點外,他們之間沒有任何明顯的關連。從其中十一組中,我們發現了十一種不同的有效負荷(Payload)(其他三組,我們無法收集到有效負荷(Payload))。

除了和Nitro相關的Poison Ivy還有上面所提到的PlugX遠端控制木馬外,趨勢科技發現了其他熟悉的遠端控制木馬,和一些不熟悉的(至少對我來說)惡意軟體。其中一個被識別出的遠端控制木馬是invitation.{BLOCKED}as.com的有效負荷(Payload),被稱為「DRAT」遠端存取木馬,是由「Dark Security Team」所開發的遠端存取木馬,並且在網路上被廣泛使用。

Watering Hole(水坑)水坑和零時差攻擊

DRAT是一個全功能的遠端存取木馬,讓攻擊者完全控制入侵的電腦。這個DRAT被設定連到{BLOCKED}le.moo.com({BLOCKED}.{BLOCKED}.229.82)。

另一個特別的木馬程式出現在被入侵的國防新聞網站,會連到「Elderwood」攻擊者。這個例子中所使用的加殼程式(packer)是和Hydraq木馬程式所使用一樣的加殼程式,這支木馬程式因為被用在對Google和其他卅家公司的「Aurora」攻擊而惡名昭彰。這支木馬(被稱為「NAID」)也是在二〇一二年六月嵌入到被入侵人權組織網站的漏洞攻擊碼的有效負荷(Payload)。在這例子中,一個被入侵的國防相關新聞網站被放置了會植入「NAID」木馬程式的IE零時差漏洞攻擊碼,進而連到support.{BLOCKED}b.com({BLOCKED}.{BLOCKED}.170.163)。

短時間內有多個惡意威脅份子使用相同的零時差漏洞攻擊碼可能代表該漏洞攻擊碼被其開發者分享或出售給多個營運商。通常一個零時差漏洞攻擊碼會用在一個特定攻擊活動,再由其他惡意威脅份子所使用,不過是在漏洞修補程式已經被釋出時。這次IE零時差漏洞攻擊碼的散布模式卻是為了最大化其影響,讓各營運商在還沒有修補程式發表前都可以針對自己的目標發動攻擊。

@原文出處:Watering Holes and Zero-Day Attacks作者:Jessa dela Torre /Nart Villeneuve(資深威脅研究員)
延伸閱讀

IE, Chrome, Firefox三巨頭,漏洞數量比一比

IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Apple:這是Java的原罪

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚