在趨勢科技的二〇一三資安預測裡,我們提到傳統的惡意軟體會專注在加強現有的武器,而非開發新威脅。可以佐證這一預測的好例子就是黑洞漏洞攻擊包不斷地改進自己以繞過安全偵測。事實上,我們最近發現了一起黑洞漏洞攻擊包(Blackhole Exploit Kit :BHEK)會利用一漏洞攻擊碼(趨勢科技偵測為JAVA_ARCAL.A)來攻擊最近被修補的CVE-2013-0431。
如果使用者還記得,這漏洞是去年一月造成Java零時差攻擊騷動的一部分。也讓甲骨文釋出非週期性安全更新以快速地解決這個問題。只是這更新程式本身也有些嚴重的問題。
這特殊的BHEK(Blackhole Exploit Kit)攻擊是從偽裝成PayPal的垃圾郵件(SPAM)開始。當使用者點入這封郵件內的內容時,會被重新導向到數個網站,最終來到藏有加密過BHEK程式碼的網頁。這程式碼會檢查訪客系統是否有Adobe Reader、Flash player和Java的相關漏洞。然後決定下載哪個漏洞攻擊碼(以及後續的行為)到系統內。
經過趨勢科技的測試,這BHEK程式碼會檢查某些版本的Adobe Reader,讓它下載並執行一個惡意PDF檔案(被偵測為TROJ_PIDIEF.MEX),並攻擊一個舊漏洞CVE-2010-0188。
這BHEK程式碼也會在檢查受影響系統的Java版本,接著從一特定網頁下載並執行JAVA_ARCAL.A。JAVA_ARCAL.A接著會用%user%路徑下的command.exe來從一特定網址下載並執行TSPY_FAREIT.MEX。這行為會打開另一個網頁。根據趨勢科技的分析,TSPY_FAREIT.MEX會試圖竊取儲存在瀏覽器內的資訊,包括Chrome、Mozilla Firefox和Internet Explorer。最後,這BHEK程式碼將連上下列的惡意網頁,想讓使用者認為自己只是被重新導向到非惡意網站。
從趨勢科技主動式雲端截毒服務 Smart Protection Network的資料中,我們可以看出這起BHEK攻擊所影響最嚴重的國家和一些有意思的結果。受影響最嚴重的國家是美國,其次是墨西哥。這很讓人驚訝,因為墨西哥在過去的BHEK攻擊裡並沒有顯著的影響。這波BHEK受影響最嚴重的國家還包括德國、拉脫維亞、日本、澳洲、英國、法國、西班牙和義大利。
這種威脅涉及好幾個部分,BHEK垃圾郵件攻擊可能擊倒任何的使用者。幸運的是,趨勢科技主動式雲端截毒服務 Smart Protection Network可以幫助使用者防護相關垃圾郵件、網址和惡意軟體。
從這次的BHEK包含CVE-2013-0431可以證明這威脅不會在短時間內消失。為了保護好自己以避免這類威脅,使用者必須要經常保持系統和軟體在最新狀態。
關於這起威脅裡的垃圾郵件部分,重要的是使用者和安全管理者都要認識到一般處理垃圾郵件和釣魚郵件的最佳實作並不能有效地解決BHEK垃圾郵件攻擊。我們之前發布的報告 – 「黑洞漏洞攻擊包:一波垃圾郵件攻擊活動,而非一連串單獨的垃圾郵件」裡包含了我們對BHEK攻擊所發現的詳情。
使用者可以參考以下部落格文章來了解安全使用PDF檔案和Java的祕訣:
如何更安全地使用PDF檔案如果一定要使用Java,該怎麼辦?《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)
@原文出處:Blackhole Exploit Kit Run Adopts Controversial Java Flaw
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚