分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施

過去,Java 一向是網路犯罪集團最愛的漏洞攻擊目標,不過近年來,這樣的情況已經不在。最近已修正的 Pawn Storm 攻擊行動 Java 零時差漏洞事實上是 Java 近兩年來被發現的第一個零時差漏洞。

零時差攻擊

這有一部分的原因要歸功於 Java 安全措施的強化。正如 Oracle 在 Java 首頁上所言,現在的主流瀏覽器在遇到過時的 Java 外掛程式時都會自動將它停用。此外,2014 年 1 月發表的Java 7 Update 51即限縮了可執行的 Applet 類型。在預設情況下,自我簽署和未經簽署 (也就是駭客最可能使用) 的 Applet 將無法在瀏覽器上執行。此外,JRE 還對所有的 Applet (不論是否簽署) 提供了點按執行 (click-to-play) 的功能。這兩點加起來,大大得降低了 Java 平台對駭客的吸引力。

既然這個 Java 零時差漏洞 (CVE-2015-2590) 現在已經修正,我們就來說明一下它的相關技術細節。此漏洞由兩部分組成:第一部份是略過 Java 的點按執行保護機制。這部分我們不能討論,但我們可以談談另外一部分。如前面所說,這個漏洞在最新的 Java 版本 (Java 8 Update 51) 當中已經獲得修正。

Java 提供了一個叫做 ObjectInputStream 的類別來執行反序列化 (decentralize) 作業,以便將記憶體緩衝區內的資料轉成物件。這個反序列化緩衝區當中包含了物件的類別資訊和檔案化的資料。如需該類別的更多詳細資訊,請參閱Java 官方文件Continue reading “分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施"

Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 Continue reading “Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構"

甲骨文加強JAVA安全 – 這對一般使用者來說代表什麼

作者:Pawan Kinger(弱點研究經理)

甲骨文發表一篇部落格文章敘述(及希望)會提高Java的安全性。從那之後,我問過了幾次:這指的究竟是什麼和這對一般使用者來說代表什麼?

首先,甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼,事實上,它們比以前的修補程式解決更多安全漏洞。更重要的是,Java的更新時間表已經和其他Oracle產品線一致:每三個月就會推出一次修補程式,從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前,能夠得到更迅速的解決。當然,甲骨文也會繼續替關鍵漏洞提供時間表外的更新。

Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入,舉例來說,甲骨文現在就會使用自動化安全測試工具,來防止修正錯誤時出現回歸和新的問題。這是個好消息,因為它意味著未來將可以更快速的修補問題。

接下來,他們談論自己是如何地努力在提高Java的安全性,因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是,甲骨文將會盡快推行的是什麼:未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生,但如果這麼做,將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰,好讓他們的Java程式可以執行:雖然這沒辦法阻止一個真正堅持的攻擊者,但對於不是那麼針對性的攻擊將會減少。此外,Oracle還致力於改善Java如何處理被撤銷的簽章,所以這程序可以在以後被預設打開。

Continue reading “甲骨文加強JAVA安全 – 這對一般使用者來說代表什麼"

從Facebook、Twitter、Microsoft和Apple遭到水坑攻擊談Mac OS平台安全

 隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple,他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者,並會據此來制定攻擊計劃。

作者:Jonathan Leopando

最近,我們看到了許多科技業知名品牌(如Facebook、Twitter、Microsoft和Apple)都遭到水坑(Watering hole)。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇,因為它被入侵淪陷了,所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

attack

毫無疑問地,Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡,不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac(這很自然,因為是針對iOS開發者的論壇)。現在的重點都一直放在是如何攻擊(Java),而非目標(Mac)上。

攻擊者會嘗試去攻擊目標所使用的平台,不管是哪一種。在整個作業系統的市場裡,Apple的市佔率仍然比較低,但在某些圈子(如矽谷)的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡,攻擊者顯然是要透過水坑(Watering hole)攻擊來針對iOS開發者,這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險,而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體,但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司,他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者,並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

@原文出處:Barking Up The Wrong Tree

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

當 APT 攻擊者擁有很大程度的控制權時,該怎麼辦?

《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路

Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網
 

黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊

作者:Romeo Dela Cruz(威脅反應工程師)

趨勢科技二〇一三資安預測裡,我們提到傳統的惡意軟體會專注在加強現有的武器,而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上,我們最近發現了一起黑洞漏洞攻擊包(Blackhole Exploit Kit :BHEK)會利用一漏洞攻擊碼(趨勢科技偵測為JAVA_ARCAL.A)來攻擊最近被修補的CVE-2013-0431

如果使用者還記得,這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題

這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時,會被重新導向到數個網站,最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼(以及後續的行為)到系統內。

BHEK(Blackhole Exploit Kit)攻擊:偽裝來自PayPal的電子郵件樣本
圖一、偽裝來自PayPal的電子郵件樣本

經過趨勢科技的測試,這BHEK程式碼會檢查某些版本的Adobe Reader,讓它下載並執行一個惡意PDF檔案(被偵測為TROJ_PIDIEF.MEX),並攻擊一個舊漏洞CVE-2010-0188。

這BHEK程式碼也會在檢查受影響系統的Java版本,接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析,TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊,包括Chrome、Mozilla Firefox和Internet Explorer。最後,這BHEK程式碼將連上下列的惡意網頁,想讓使用者認為自己只是被重新導向到非惡意網站。

BHEK(Blackhole Exploit Kit)攻擊: 會試圖竊取儲存在瀏覽器內的資訊
圖二、感染鏈的最終目標網頁

 

趨勢科技主動式雲端截毒服務  Smart Protection Network的資料中,我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國,其次是墨西哥。這很讓人驚訝,因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。

Continue reading “黑洞漏洞攻擊包(BHEK)利用Java漏洞, 試圖竊取儲存在瀏覽器內的資訊"

假Java零時差漏洞修補程式,真勒索軟體

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者:確保從可靠的來源下載,不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞(CVE-2012-3174)的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而,趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11,這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案,其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe(這兩個檔案都被偵測為BKDR_ANDROM.NTW)。一旦執行,這個後門程式會連到遠端伺服器,讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

 

勒索軟體偽裝成Java零時差漏洞修補程式
勒索軟體偽裝成Java零時差漏洞修補程式

 

JAVA_DLOADER.NTW 會下載並執行Up1.exe(BKDR_ANDROM.NTW)和Up2.exe(TSPY_KEYLOG.NTW)。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV%User Temp%\{random file name}.exe。經過趨勢科技的分析,這個勒索軟體 Ransomware會鎖定使用者螢幕,並且嘗試連上特定網站以顯示警告訊息給使用者。

Continue reading “假Java零時差漏洞修補程式,真勒索軟體"

如果一定要使用Java,該怎麼辦?

當Java 最近又出現另一次零時差漏洞,要使用者「移除Java」的聲音已經成為一種普遍的意見。請參考:Java更新補救安全漏洞 美國安部仍籲「停用」

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中,我們想藉此機會來釐清幾個相關問題。

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中,我們想藉此機會來釐清幾個相關問題。

attack

Java仍有很大的風險

根據趨勢科技的分析,我們已經證實CVE-2013-0422的修補程式並不完整。這CVE包含兩個問題。一個來自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一個來自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已經修補了後者,但是findclass method仍然可以被用來獲取被限制class的reference。簡單來說,findclass method的問題仍然留下可供利用的後門,可能被另一個新的漏洞所用。

趨勢科技也想澄清另外一點,這次是針對CVE-2012-3174。和某些報導的觀點不同,這並不是Reflection APT的問題。Reflection API的問題已經在CVE-2013-0422裡被修補了。引用美國國家漏洞資料庫(NVD)的話「註:有些團體將CVE-2012-3174和遞迴使用Reflection API的問題關連在一起,但是這問題已經被CVE-2013-0422所包含。」

在這起事件裡,每個人心裡最大的問題是「使用者安裝這修補程式之後安全嗎?」或是「這修補程式可以防護最近利用CVE-2013-0422的攻擊嗎?」是的,直到有人找到新臭蟲跟第一個問題結合為止。Findclass method仍然是個懸而未決的問題,但它本身不能做為漏洞攻擊。不過訊息很清楚:Java仍然是很大的風險。

不過,想辦法去將Java的風險降到最低還是該做的事情。最理想的狀況是你可以移除Java以完全避免風險。但如果因為某些原因而不可行,那這些技巧可以幫你盡可能地減少風險。

在一般情況下,這是個明智的建議。如果可以的話,使用者應該移除Java,如果並不會用到。不幸的是,對於很多使用者來說,這並不是個選項。很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站(許多都用Java)或執行軟體(Minecraft需要用到Java )。

 

所以,要如何安全的使用Java?首先,Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java,那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話,需要一個一個瀏覽器分別設定,但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行,但Java應用程式可以繼續使用,沒有問題。

基於這個問題,使用者必須考慮自己是否真的需要Java。如果不的話,就應該將其移除。對於無法避免使用Java的使用者而言,還有其他的方法來降低風險:

如果一定要使用Java的該怎麼辦?

很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站(許多都用Java)或執行軟體(Minecraft需要用到Java )。

  •  如果你因為應用程式需要而安裝Java,就在瀏覽器內選擇停用

所以,要如何安全的使用Java?首先,Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java,那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話,需要一個一個瀏覽器分別設定,但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行,但Java應用程式可以繼續使用,沒有問題。

  •  如果公司內部網站或銀行網站需要Java,請個別停用瀏覽器內的Java,選擇一個「次要」瀏覽器來上使用Java的網站,然後在主要瀏覽器中停用它

在這種情況下,你需要在瀏覽器內停用Java。選擇「次要」瀏覽器專門用來瀏覽使用Java的網站,然後在主要瀏覽器中停用它。例如,如果你是Chrome使用者,你可以用Firefox或Internet Explorer來瀏覽Java網站。趨勢科技資深安全顧問Rik Ferguson已經發表過一篇文章提供針對瀏覽器來停用Java的詳細步驟:

  • Internet Explorer裡停用Java:的Internet Explorer的「工具」選單內選取「管理附加元件」,停用Java™ Plug-in SSV HelperJava 2™ Plug-in 2 SSV Helper
  •  Firefox裡停用JavaMacOSWindows):在「工具」選單裡選取「附加元件」,停用Java Deployment ToolkitJava™ Platform和/或Java Applet Plug-in
  • Google Chrome裡停用Java按入Chrome瀏覽器窗口右上角的「扳手」圖示,選取「選項」,進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後,在「外掛程式」區段中選取「停用個別外掛程式」,找到Java並且點擊「停用」連結就可以了!
  •  MacOSSafari裡停用JavaSafari選單內選取「偏好設定」,按一下「安全性」標籤。取消勾選「啟用Java
  • WindowsSafari裡停用Java在瀏覽器右上角點選「齒輪」圖示,然後選取「偏好設定」,選取「安全性」,取消勾選「啟用Java」。

基本上Internet Explorer和Firefox都可以輕易的在選單內停用外掛程式。Chrome則比較隱密,最快的做法是在地址列上輸入chrome://plugins。一旦你進入設定頁面,停用Java外掛程式來禁止瀏覽器執行任何Java程式。

此外,Chrome使用者的另一種選擇是控制要不要執行Java程式。Chrome會在執行Java程式前出現提示,讓你選擇只執行這一次或在這網站上永久可以執行。使用者應該要選擇只執行一次,如果他們知道這個網站真的需要Java。 Continue reading “如果一定要使用Java,該怎麼辦?"

重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

 


日前(2013 年1 月10 日),針對Java系統弱點的零時差攻擊(Zero-Day Exploit) 爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織(Black Hole Exploit Kit, BHEK) 所發起,並藉此散播惡意勒索軟體 Ransomware—Reveton。(關於勒贖軟體相關介紹,請參考線 上小學堂。)

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零 時差攻擊,趨勢科技產品Deep Security與Intrusion Defense Firewall(IDF)漏洞規 則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完 善的防護;更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點 所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊:

規則編號

規則名稱

防範弱點編號

1004711

Identified Malicious Java JAR Files

CVE-2013-0422

1005331

Ruby On Rails XML Processor YAML Deserialization DoS

CVE-2013-0156

1005328

Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

CVE-2013-0156

此外,趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上,也能取得完整的安全防護,並可偵測以下相關惡意程式/網站:

惡意程式/網頁偵測名稱

偵測描述

JAVA_EXPLOIT.RG

惡意程式碼

HTML_EXPLOIT.RG

藏有惡意程式碼的網站

TROJ_REVETON.RG

惡意程式

TROJ_REVETON.RJ

惡意程式

此次更新也特別包含以下防護功能:

  • 防範針對Java弱點的攻擊;
  • 防範藏有惡意程式碼的網站;
  • 防範下載惡意程式(勒贖軟體)。

另外,Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向,趨勢科技提醒您:

  • 所有電腦主機皆須更新Patch,愈快愈好;
  • 企業應與資安專家討論此攻擊對企業的衝擊與影響範圍,並評估遭受攻擊 的可能性語因應措施;
  • 企業可選擇弱點屏蔽(Vulnerability shielding)或虛擬補丁(Virtual patch) 等防護措施作為解決方案,如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向,趨勢科技提醒您:

  • 所有電腦主機皆須更新Patch,愈快愈好;
  • 一般預料此項弱點將成為網路蠕蟲攻擊目標,更甚者攻擊行為可能已開始進化,在弱點主機間蔓延(如同網路蠕蟲);
  • 企業應與資安專家討論此攻擊對企業的衝擊與影響範圍,並評估遭受大規模網路蠕蟲攻擊的可能性;
  • 企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案,如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

 

@延伸閱讀

如果必要的話,該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網
 

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

作者:Jon Oliver(趨勢科技軟體架構總監)

 上禮拜的Java零時差漏洞已經被許多種漏洞攻擊包所用,包括大家所熟知的Blackhole漏洞攻擊包。

 在這篇文章中,我們會介紹在過去一週內所爆發的一些相關攻擊。趨勢科技主動式雲端截毒服務  Smart Protection Network中的自動化處理系統已經開始偵測這些攻擊,只要它們一出現就會加以封鎖。

 有許多種方法被用來將網路使用者導到藏有這些攻擊程式的網頁上,包括:

 

 

利用多種方式來將使用者導引到惡意網站,的確增加了攻擊成功的機會,也讓使用者所面臨的風險更大了。在垃圾郵件方面,我們看到四種被使用的社交工程陷阱( Social Engineering)誘餌: 

  1. 偽造的LinkedIn訊息
  2. 假防毒軟體通知
  3. 偽稱來自eFax的傳真
  4. 西聯匯款轉帳 Continue reading “Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌"

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

 

事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。

itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標
itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標

 

資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

  Continue reading “《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊"