荷蘭使用者最近被一個受入侵網站當做目標,一個在荷蘭相當受歡迎的新聞網站nu.nl。這個網站被入侵淪陷之後,被修改成會加入一個惡意框架,進而讓訪問者的電腦感染一個SINOWAL的變種。
趨勢科技的研究員Feike Hacquebord指出,考慮到這次攻擊的各種特點,它似乎就是特別設計來感染荷蘭的使用者。除了因為遭入侵網站是他們國家最流行的網站外,插入在網站的腳本正好在荷蘭的午餐時間前被啟動,而這時間通常是荷蘭使用者在辦公室裡用來看看新聞或其他網站的時候。
跟據nu.nl所發表的聲明,他們認為攻擊者攻擊了新聞群組內容管理系統(CMS)的一個漏洞,讓他們插入了2個腳本(g.js和gs.js)到nu.nl的子網域內。
調查結果顯示,這個被趨勢科技偵測為JS_IFRAME.HBA的腳本是高度加密的腳本,一旦執行就會將使用者帶到另一個帶有各種漏洞攻擊碼的腳本。
這個漏洞攻擊包被偵測為JS_BLACOLE.HBA,就是Nuclear漏洞攻擊包。一旦執行之後,它會檢查系統上是否有任何有漏洞的軟體,然後下載適用的漏洞攻擊碼來進行攻擊。
根據對這攻擊包程式碼所做的分析,帶有下列未經修補應用程式版本的電腦可能會被這種威脅感染成功:
- Adobe Reader版本在8和9.3之間
- Java版本在5和6之間,還有5.0.23和6.0.27之間
除了上述軟體之外,Nuclear漏洞攻擊包也可以攻擊微軟作業系統的漏洞,像是Microsoft Data Access Components(MDAC)、協助和支援中心(help and Support Center,HCP)和微軟Office Web Components(OWC)試算表。
漏洞攻擊成功之後會下載下載器TROJ_SMOKE.JH,然後下載SINOWAL變種 – TROJ_SINOWAL.SMF。而在感染時,趨勢科技就已經可以偵測SINOWAL變種了。
TROJ_SINOWAL.SMF會收集中毒系統上的資訊,像是:
- 系統的硬碟序號
- 正在執行的進程
- 註冊在註冊碼HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\Uninstall底下的軟體
TROJ_SINOWAL.SMF也據稱會下載另一個組件去感染受影響電腦的MBR。
從趨勢科技主動式雲端截毒技術所收集的資料顯示,大多數會在該網站有惡意檔案時去存取JS_BLACOLE.HBA使用網址的使用者的確來自荷蘭:
在這起入侵事件被發現後的幾個小時內,nu.nl就恢復正常了。可悲的是,這次入侵事件已經讓一些網站訪問者感染了SINOWAL病毒。因此,建議使用者檢查可能受到感染的電腦,並根據在網上所公布的說明來執行必要的移除步驟。至於我們,趨勢科技產品可以偵測攻擊中所使用的相關檔案,並且可以封鎖所有的惡意網域,這都是來自趨勢科技主動式雲端截毒服務 Smart Protection Network的強大威力。而且SINOWAL變種用來送出資料的命令和控制(C&C)伺服器也都被趨勢科技給封鎖了。
@原文出處:Dutch Users Served SINOWAL for Lunch作者:Roland Dela Paz (威脅反應工程師)
@延伸閱讀
微軟遠端桌面協定伺服器漏洞(MS012-020):搶先一步保護,後上Patch修補
遭入侵的WordPress網站,引發Blackhole漏洞攻擊
