當我看到這篇部落格文章時,我最先想到的是:「這是另一次的目標攻擊擊嗎?」我看了一下這文章內所提到的PDF檔案,它看起來像是給某國防承包商員工的員工滿意度調查。趨勢科技產品會將這惡意PDF檔案偵測為TROJ_PIDIEF.EGG。下面是這文件的截圖。
在我看來,網路犯罪分子的目標是這間國防承包商的員工以獲得該公司的資料,甚或是它客戶的資料。趨勢科技還發現到他們的客戶包括了許多廣為人知的聯邦政府機構。
這個PDF漏洞攻擊碼跟其他常被使用的漏洞攻擊碼類似。裡面夾帶了惡意JavaScript以執行shellcode來解開並安裝內嵌在PDF內的二進位檔案。下面是被嵌入的二進位檔案,趨勢科技將其偵測為BKDR_SYKIPOT.B。
如果使用者很少檢查自己電腦運行中的進程,可能就無法發現有個後門程式 – pretty.exe正在背景執行。它並不會做出任何破壞行為,但是如果後門程式連線成功,遠端使用者就能控制受感染的系統並做出更多惡意行為,舉例來說可以下載更多惡意檔案,或是重新啟動系統。
趨勢科技的主動式雲端截毒服務 Smart Protection Network可以保護客戶來對抗這種攻擊,它會封鎖所有相關的檔案和網址。
Threat Discovery Appliance(TDA)威脅偵測系統也能夠透過TDA規則18 NCCP – 1.11525.00來偵測跟這惡意網站有關的流量,而Deep Security和OfficeScan的Intrusion Defense Firewall(IDF)外掛程式也能經由以下規則來保護客戶:
1004871 – Adobe Acrobat Reader U3D Component Memory Corruption Vulnerability(CVE-2011-2462)
1004873 – Adobe Acrobat Reader U3D Component Memory Corruption(CVE-2011-2462)
使用者可以繼續參考Adobe安全公告網頁來了解更多關於這個零時差漏洞的資訊。
@原文出處:Adobe Zero-day Vulnerability Installs Backdoor – Another Targeted Attack?
@延伸閱讀:
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
精確鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)
◎ 免費下載防毒軟體:歡迎試用下載瞭解與試用
◎ 歡迎加入趨勢科技社群網站
