在過去幾個禮拜裡,一個被稱為 FlashPack 的漏洞攻擊包一直在攻擊日本的使用者。為了要感染使用者,這漏洞攻擊包並不依賴於垃圾郵件或被駭網站:相對地,它採用了被駭的網站外掛。
使用這外掛的網站所有者是為了加上社群媒體分享按鈕到自己的網站上。網站所有者所要做的就只是在自己的網站設計模版中加入幾行JavaScript程式碼。這程式碼會在外掛網站上免費提供。
加入的腳本會增加如下版面到網站上:
圖1、新增的分享按鈕
要做到這一點,首頁上的一個JavaScript檔案會被載入。光是這樣就該發出警訊:這代表網站所有者在非其控制的情況下載入來自外部伺服器的腳本。如果它載入的腳本來自受信任網站,如Google、Facebook或其他知名網站是一回事;但載入無名伺服器網站上的腳本又是另外一回事。
而事實證明,這腳本被用於惡意目的。在某些網站上並非執行原有的外掛腳本,而是將使用者重新導向FlashPack的腳本,像這樣:
GET https://{add-on domain}/s.js HTTP/1.1
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
Accept: */*
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: {victimized website}
Host: {add-on domain}
上述文字是對外掛腳本的HTTP請求,網址部分被處理過。下面是伺服器的回應:
HTTP/1.1 302 Found
Date: Thu, 14 Aug 2014 02:39:45 GMT
Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
Location: {exploit kit URL}
Content-Length: 386
Connection: close
Content-Type: text/html; charset=iso-8859-1
要注意的是,直接載入s.js只會載入「正確」的外掛腳本。如果在Referer標頭發現一個在日本的知名免費部落格網站,則會觸發該漏洞攻擊包。這漏洞攻擊包對目標使用者進行多項Flash漏洞攻擊;其中有一個被用來攻擊的是二月所修補的Flash漏洞(CVE-2014-0497)。我們已經看到有TROJ_CARBERP.YUG被下載到受影響系統上。
這次攻擊本身大量地針對了日本使用者。至少有約66,000名使用者遭受這波攻擊,其中有超過87%來自日本。漏洞攻擊包網頁被代管在捷克、荷蘭和俄羅斯的伺服器。
圖2、各國被攻擊數量
