趨勢科技最近發現,在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點(CVE-2012-4681)。一旦漏洞攻擊成功就會下載一個後門程式,讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。
這個零時差漏洞攻擊碼可以在所有版本的Internet Explorer、Firefox和Opera上執行。而透過Metasploit的測試,這漏洞同樣也可以在Google Chrome和Safari上執行。
漏洞攻擊和惡意行為的技術分析
受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關,它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件,HTML網頁和惡意JavaScript(index.html,被偵測為JS_FIEROPS.A)、Java Applet(applet.java,被偵測為JAVA_GONDY.A)和惡意程式(FLASH_UPDATE.exe,被偵測為BKDR_POISON.BLW)。
使用者可能會因為訪問某些網站而遇上這種威脅,其中一個是https://www.{BLOCKED}s.com/public/meeting/index.html,會讓人下載並加載惡意Java Applet(JAVA_GONDY. A)。接著會傳遞參數以用來下載BKDR_POISON.BLW。
根據趨勢科技對index.html程式碼的分析,裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。
解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數,好用來下載惡意程式FLASH_UPDATE.exe。
