分類: 漏洞攻擊

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

趨勢科技 TrendMicro

編按:可遠端控制攻擊受感染機器的Java 7 漏洞,更新後立即又被發現新漏洞!!要如何暫停使用 Java 請看本文

 

作者:趨勢科技資深分析師Rik Ferguson

 

這不是Java

這不是Java                                                                                                                      �
  圖片來源:Homini :)的Flickr照片,經由創用CC授權引用。

有種常見的誤解就是以為Java和JavaScript之間有密切的關連,許多人甚至會混著使用這兩個名詞。但事實上,會有相似的名稱只是因為Netscape將一種技術名稱 – LiveScript改成JavaScript,他們從1995開始研發這種技術。這改變在當時被普遍認為是種行銷策略。但從長遠來看,它的確造成許多的混淆。

Java和JavaScript並不相同,當然跟Bob的爪哇搖滾樂(上圖內的World Famous Bob’s Java Jive)更沒關係。最近Java的零時差弱點(本部落格中文相關文章Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX)讓這星期熱鬧滾滾,了解它倆的區別也成為了你網路安全的關鍵。

最新版本Java內的漏洞讓攻擊者可以誘騙你去連上一個惡意或被入侵的網站,在無需跟使用者有任何互動的情況下就可以利用這漏洞來安裝惡意程式到你的電腦上。它已經被用來安裝一個已知的後門程式,讓網路犯罪分子可以遠端控制被感染的電腦。也被加入到一些攻擊工具包內,不管是專業用工具還是犯罪用工具。

事實上,Java是種跨平台的環境,讓它相對起來,更簡單去產生惡意程式碼來攻擊多數主要作業系統。

 

如果你的系統上有裝Java 1.7的任何版本,那就有受到這種攻擊的危險。這是最新被預設安裝到微軟Windows電腦的版本。如果你用的是MacOS,那由Apple軟體更新所拿到的最新版本Java是1.6.0.33,就沒有這個弱點。但如果你很熱衷於將系統保持在最新狀態,都會想去安裝最新修補程式來防止已知漏洞(通常這是很好的作法),那你可能已經上過java.com,而Oracle也已經提供MacOS最新但是有弱點的版本。

當漏洞已經被廣泛的利用來攻擊,但修補程式還沒釋出前,最好的作法就是直接在瀏覽器裡停用Java。這時知道Java和JavaScript有何不同就很重要了。不然你很可能會關到錯的選項,但危險卻沒解除。

 在Internet Explorer裡停用Java

的Internet Explorer的「工具」選單內選取「管理附加元件」,停用Java™ Plug-in SSV HelperJava 2™ Plug-in 2 SSV Helper 繼續閱讀

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

趨勢科技 TrendMicro

趨勢科技最近發現,在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點(CVE-2012-4681)。一旦漏洞攻擊成功就會下載一個後門程式,讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。

這個零時差漏洞攻擊碼可以在所有版本的Internet ExplorerFirefoxOpera上執行。而透過Metasploit的測試,這漏洞同樣也可以在Google ChromeSafari上執行。

 

漏洞攻擊和惡意行為的技術分析

 

受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關,它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件,HTML網頁和惡意JavaScript(index.html,被偵測為JS_FIEROPS.A)、Java Applet(applet.java,被偵測為JAVA_GONDY.A)和惡意程式(FLASH_UPDATE.exe,被偵測為BKDR_POISON.BLW)。

 

使用者可能會因為訪問某些網站而遇上這種威脅,其中一個是https://www.{BLOCKED}s.com/public/meeting/index.html,會讓人下載並加載惡意Java Applet(JAVA_GONDY. A)。接著會傳遞參數以用來下載BKDR_POISON.BLW。

 

 

使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A
使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A

 

 

 

根據趨勢科技index.html程式碼的分析,裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。

 

 

腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密
腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密

 

 

 

解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數,好用來下載惡意程式FLASH_UPDATE.exe

 

 

傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe
傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe

 

繼續閱讀

冒用美國銀行、花旗銀行、PayPal、亞馬遜(Amazon)、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

趨勢科技 TrendMicro

冒用美國銀行、花旗銀行、PayPal、亞馬遜(Amazon)、AT&T等組織發布的網路釣魚攻擊信,有增多趨勢

 一樣的手法,更多樣化偽造的對象:目前的黑洞漏洞攻擊垃圾郵件(Black Hole Exploit Kit spam)

 如同趨勢科技之前文章所提到的,有一連串黑洞(Black Hole)垃圾郵件(SPAM)攻擊持續地在肆虐著,這些攻擊通常一開始來自垃圾郵件(SPAM),裡面夾帶了指向已被植入漏洞攻擊碼的淪陷網站連結,藉以將ZeuS木馬變種安裝到使用者電腦上以竊取敏感資料。這篇文章主要是更新當下黑洞漏洞攻擊垃圾郵件垃圾郵件(SPAM)的活動狀況。黑洞漏洞攻擊垃圾郵件(SPAM)已經出現好一段時間了。直到目前為止,它依然是十分的活躍。這些垃圾郵件攻擊對於那些被冒名的組織、入侵淪陷網站的經營者還有那些受到這些網路釣魚(Phishing)攻擊的使用者來說,都是嚴重的問題。不過我們透過分析大量資料加上趨勢科技主動式雲端截毒服務  Smart Protection Network所提供給使用者用來解決這些垃圾郵件(SPAM)的方法,仍然可以有效地偵測並抓到這些攻擊者發送的郵件。

 黑洞漏洞攻擊垃圾郵件的變化

 趨勢科技最近注意到,惡意份子除了繼續使用著之前的相同的策略外,又新利用其他正常組織做為幌子來發送垃圾郵件。具體來說,他們的垃圾郵件(SPAM)會假冒成合法電子郵件,以誘騙使用者點擊郵件中的連結。攻擊者一開始會透過含有入侵淪陷網站連結的垃圾郵件(SPAM),將使用者重新導到藏有惡意軟體的網站。就像前面所說,不同的是被用來做為幌子的組織變多了。

 

最近的攻擊活動有著多樣化的幌子

 下表是最近發生過的攻擊潮,包括被黑洞漏洞攻擊垃圾郵件(SPAM)所冒用的組織名稱以及日期:

 

日期

組織

五月29日

美國銀行(Bank of America)
威訊(Verizon)

五月30日

PayPal
花旗銀行(Citibank)

五月31日

Monster
Windstream

六月一日

Century Link
Detroit Basketball
The HoneyBaked Ham Company
Ticketmaster
LinkedIn

六月三日

美國聯邦儲蓄系統(The Federal Reserve System)

六月四日

威訊(Verizon)

六月五日

亞馬遜(Amazon)
AT&T
PayPal

六月六日

AT&T
花旗銀行(Citibank)
Craigslist
惠普(Hewlett-Packard)

六月七日

LinkedIn

 

感染鏈範例

 下圖是黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈。這只是一個範例,用來描述我們的專家所追蹤的大規模垃圾郵件攻擊,並且當攻擊發生時推出解決方案:

 

黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈範例
黑洞漏洞攻擊垃圾郵件(SPAM)假冒成Amazon、AT&T和PayPal進行攻擊的感染鏈範例

 

想要解決黑洞漏洞攻擊,最好是專注在感染點。既然電子郵件是最初的起點,那麼偵測這些網路釣魚(Phishing)就是種有效的方式去打擊這種威脅。

 

@原文出處:Same Operation, Diversification of Targets Being Spoofed: Current Black Hole Exploit Kit Spam Runs作者:Sandra Cheng(產品經理)和Jon Oliver(資深技術總監)

 

@延伸閱讀

LinkedIn、美國航空、Facebook、美國運通、PayPal和CareerBuilder 成網路釣客愛用誘餌

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

即刻免費下載防毒軟體 PC-cillin 雲端阪【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~

 

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

 

@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文

◎ 歡迎加入趨勢科技社群網站

 

 

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

趨勢科技 TrendMicro

趨勢科技發現有一個惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。

惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。
惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦

 

一旦使用者打開惡意PPT檔案就會觸發Flash檔內的Shellcode來攻擊CVE-2011-0611漏洞,接著將「Winword.tmp」放入Temp資料夾中。它同時也會產生一個非惡意的PowerPoint簡報檔「Powerpoint.pps」,以矇騙使用者認為這只是一般的簡報檔案。根據趨勢科技的分析,「Winword.tmp」是一個後門程式,它會連到遠端站台跟幕後黑手進行通訊。它也可以下載並執行其他惡意軟體,讓受感染系統面臨更可怕的威脅,像是進行資料外洩資料竊取的惡意軟體。

 

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。
趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。過去的目標攻擊也用過這類惡意軟體。

繼續閱讀

趨勢科技防止用戶遭到最新的 Internet Explorer 主動式內容漏洞攻擊

趨勢科技 TrendMicro

上週Microsoft 發表了定期的每月修補程式更新,修正了許多 Internet Explorer 的漏洞 (MS12-037 更新程式),除此之外,Microsoft 也公布了另一個目前仍無修補程式的 IE 漏洞。Microsoft 安全性摘要報告 (2719615) 明確指出 Microsoft XML (MSXML) Core Services 含有漏洞。MSXML 負責提供一組符合 W3C 標準的 XML API,讓使用者能使用 JScript、VBScript 及 Microsoft 開發工具來開發 XML 1.0 標準的應用程式。

Microsoft XML Core Services 當中有一個遠端程式碼執行漏洞,因為它可能會存取一個位於未初始化記憶體內的 COM 物件。當駭客攻擊此漏洞得逞時,就能以目前登入使用者的身分執行任何程式碼。 繼續閱讀