Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

趨勢科技最近發現,在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點(CVE-2012-4681)。一旦漏洞攻擊成功就會下載一個後門程式,讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。

這個零時差漏洞攻擊碼可以在所有版本的Internet ExplorerFirefoxOpera上執行。而透過Metasploit的測試,這漏洞同樣也可以在Google ChromeSafari上執行。

 

漏洞攻擊和惡意行為的技術分析

 

受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關,它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件,HTML網頁和惡意JavaScript(index.html,被偵測為JS_FIEROPS.A)、Java Applet(applet.java,被偵測為JAVA_GONDY.A)和惡意程式(FLASH_UPDATE.exe,被偵測為BKDR_POISON.BLW)。

 

使用者可能會因為訪問某些網站而遇上這種威脅,其中一個是http://www.{BLOCKED}s.com/public/meeting/index.html,會讓人下載並加載惡意Java Applet(JAVA_GONDY. A)。接著會傳遞參數以用來下載BKDR_POISON.BLW。

 

 

使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A
使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A

 

 

 

根據趨勢科技index.html程式碼的分析,裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。

 

 

腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密
腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密

 

 

 

解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數,好用來下載惡意程式FLASH_UPDATE.exe

 

 

傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe
傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe

 

 

趨勢科技研究這Java Applet時,我們注意到下面類別:

 

  • cve2012xxxx/Gondzz.class – 包含主要程式碼以及用classcom.sun.beans.finder.ClassFinder class來攻擊JAVA 7漏洞的程式碼。
  • cve2012xxxx/Gondvv.class – 包含用來下載並執行惡意程式碼的方法(Method)。

 

當惡意Java Applet被執行時,它會呼叫disableSecurity() 方法,建立了一個聲明(Statement)去禁用安全管理器(Security Manager),這樣就可以讓惡意程式碼被允許執行。並且會檢查運行中的系統是否為Windows,去決定HTML傳遞的參數所指向的惡意程式網址。

 

 

當惡意Java Applet被執行時,它會呼叫disableSecurity() 方法,建立了一個聲明(Statement)去禁用安全管理器(Security Manager),這樣就可以讓惡意程式碼被允許執行
當惡意Java Applet被執行時,它會呼叫disableSecurity() 方法,建立了一個聲明(Statement)去禁用安全管理器(Security Manager),這樣就可以讓惡意程式碼被允許執行

 

 

 

接著會下載BKDR_POISON.BLW到暫存目錄內,檔案名稱為UPDATE.EXE。惡意Java Applet接著會在執行後刪除檔案。

 

 

惡意Java Applet接著會在執行後刪除檔案。
惡意Java Applet接著會在執行後刪除檔案。

 

 

 

根據趨勢科技的分析發現,後門程式BKDR_POISON.BLW會下載並執行其他惡意程式到系統內,讓這個系統可能會被進一步的感染。它還可以在受感染系統上擷取螢幕、網路攝影機影像和錄音。根據報導,這個零時差漏洞還可以在Mac OSX上被執行,所以Mac使用者也要小心這個威脅。

 

JRE 1.7零時差漏洞和目標攻擊

 

雖然有些報導說這個零時差漏洞可能被用在目標攻擊,不過我們的分析結果卻顯示可能並非如此。用來放置這漏洞攻擊碼的網站也被用來派送其他各種惡意軟體。BKDR_POISON.BLW所連的伺服器也被用來當做其他惡意軟體的C&C伺服器。而目標攻擊成功的要素之一就是要保持低調。但是這次攻擊所用到的網域和IP地址都顯示它沒有打算隱藏自己。

 

趨勢科技所提供的保護

 

趨勢科技利用主動式雲端截毒服務  Smart Protection Network來保護使用者免受此種威脅,它可以偵測並刪除漏洞攻擊碼及惡意軟體組件。也會阻止使用者連上有問題的網站,威脅的感染起點。Deep Security的用戶也可以利用規則1005170 – Java Applet Remote Code Execution Vulnerability來防護這次的漏洞攻擊。

 

電子郵件藉檔案分享網址會導致這漏洞攻擊

我們被回報通知有電子郵件會導致這漏洞攻擊。這個電子郵件號稱包含一個檔案分享工具的網址,但其實卻是連上漏洞攻擊碼。趨勢科技已偵測並封鎖相關的電子郵件和漏洞攻擊碼連結。此外,趨勢科技 Deep Security可以偵測到BKDR_POISON.BLW所產生的網路活動。

 

@原文出處:Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor作者:Manuel Gatbunton(趨勢科技威脅反應工程師)

 @更新:

重大資安風險通報
針對Java零時差漏洞的建議處理行動


由於Java使用者非常廣泛,因此前日所發布的Java零時差漏洞(CVE-2012-4681),受影響的電腦數量非常多,而趨勢科技也觀察到已經有惡意程式利用此漏洞發動攻擊,也都可以被趨勢科技防毒產品偵測:

malicious JavaScript

JS_FIEROPS.A

(Pattern:9.352.01)

malicious Java applet

JAVA_GONDY.A

(Pattern:9.352.01)

malicious binary

BKDR_POISON.BLW

(Pattern:9.352.06)

此外Deep   Security或IDF的用戶也可以利用規則1005170 – Java Applet Remote Code   Execution Vulnerability來防護這次的漏洞攻擊。

Oracle針對這個漏洞已經發佈修補程式,詳細資訊請參考下列網址: https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

若您是Windows平台使用者可以參考下列步驟更新修補程式:

1. 開啟”Java控制面板”視窗:
在命令題示字元中輸入以下指令並按Enter(須以系統管理員身分執行)。
C:\Program Files\java\jre7\bin\javacpl.exe (32位元作業系統)
C:\Program Files <x86>\java\jre7\bin\javacpl.exe (64位元作業系統)

2. 出現Java 控制面板視窗之後,點選”更新”頁籤,並點選”立即更新”。

3. 跳出以下頁面後點選”安裝”即可順利更新。

4. 更新完畢之後可到下列網址檢查是否已經更新成功。   http://java.com/en/download/installed.jsp

趨勢科技利用主動式雲端截毒服務 Smart Protection Network來保護使用者免受此種威脅,它可以偵測並刪除漏洞攻擊碼及惡意軟體組件,也會阻止使用者連上有問題的網站,威脅的感染起點。

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:http://www.facebook.com/trendmicrotaiwan

@延伸閱讀
Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

 趨勢科技防止用戶遭到最新的 Internet Explorer 主動式內容漏洞攻擊

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

OSX_FLASHBCK打破Mac OS不易中毒的說法,下一波可能是網路銀行木馬攻擊

《漏洞攻擊》荷蘭新聞網 nu.nl 遭入侵,專挑午餐播報時段啟動病毒,蒐集系統資訊

微軟遠端桌面協定伺服器漏洞(MS012-020):搶先一步保護,後上Patch修補

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:http://www.facebook.com/trendmicrotaiwan

 


APT 攻擊

免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻按這裡下載

@參考推文

雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>推文

◎ 歡迎加入趨勢科技社群網站