淺析漏洞攻擊與惡意程序植入的合作關系
精密的惡意程序散播技巧
這類工具可讓僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet經(jīng)營者彼此合作,或者參與聯(lián)合行動。有了這類工具,現(xiàn)在,惡意程序的作者就能付費請僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet網(wǎng)絡經(jīng)營者代為將惡意程序安裝至受害者的電腦上。一個僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet可用來散播各式各樣的惡意程序,例如:SpyEye、ZeuS 或假殺毒軟件。
網(wǎng)絡犯罪者需要吸引訪問者連上他們的惡意網(wǎng)站,才能在訪問者的電腦上安裝惡意程序。為了吸引訪問者流量,僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet經(jīng)營者通常會在地下聊天室或地下論壇上購買合法網(wǎng)站的 FTP 帳號密碼。此外,一旦 僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet上線運作之后,其幕后經(jīng)營者就能在已入侵的系統(tǒng)上直接竊取一些 FTP 帳號密碼。偷到的帳號密碼,歹徒還可以用來入侵其他合法的網(wǎng)站,然后再將合法網(wǎng)站的使用者重導至自己所控制的服務器。
本文將分析一臺惡意程序服務器的運作方式,此服務器用來接收已入侵網(wǎng)站重導過來的流量。訪問者會被重導至一個漏洞攻擊套件。如果訪問者的系統(tǒng)被入侵成功,訪問者的電腦就會連線至一個程序植入工具 (loader),該工具再將各式各樣的惡意程序傳送至訪問者的電腦 (視訪問者所在地理區(qū)域而定)。只要有心犯罪,這些工具和方法在網(wǎng)絡犯罪地下經(jīng)濟體系當中都隨手可得。 Phoenix 漏洞攻擊套件
在這個案例中,三個惡意的 iframe 會被植入合法的網(wǎng)站當中。如此會將瀏覽該網(wǎng)站的訪問者導向一個 Bot 網(wǎng)絡經(jīng)營者的外部網(wǎng)站。其中一個 iframe 會偷偷將訪問者導向專門散播 Phoenix 漏洞攻擊套件 的服務器。
這個漏洞攻擊套件會判斷訪問者的操作系統(tǒng)和瀏覽器版本,然后再攻擊特定的漏洞以便在在訪問者電腦上執(zhí)行惡意程序。此攻擊涵蓋了一些熱門套裝軟件的漏洞,例如:Adobe Flash Player、Adobe Reader 以及 Java。
全部加起來,這個 Phoenix 漏洞攻擊套件總共獲得了 17,628 位訪問者,而且成功入侵了其中 850 位 (4.82%) 的電腦。這項套件發(fā)現(xiàn),最容易攻擊成功的是含有漏洞的 Java 版本。在攻擊成功之后,該套件就會在訪問者的電腦上植入一個惡意的執(zhí)行文件 (也就是我們偵測到的 TROJ_RENOS.NRT),讓電腦連線至另一群完全不同的幕后操控服務器。
與其他套件連結
這個 Phoenix 漏洞攻擊套件的訪問者幾乎都是來自于英國。顯然,該 Bot 網(wǎng)絡的幕后經(jīng)營者可能是向其他網(wǎng)絡犯罪者購買了來自英國的流量,或者是入侵了某個英國的熱門網(wǎng)站。
同一部服務器上也還有其他 Phoenix 漏洞攻擊套件復本。在所有案例中 (不限于前述討論的案例),該套件所植入的程序都會連線至同一服務器上的好幾個 DLoader 復本。例如,該套件的其他復本共獲得了 5,871 位訪問者。這些訪問者主要來自德國和俄羅斯。其中有 360 位 (6.13%) 是因為 Java 漏洞攻擊而被入侵成功 (再次成為榜首)。
這些植入的惡意程序會強迫使用者電腦連上同一服務器上的多份 DLoader 復本。這些 Phoenix 漏洞攻擊套件的復本,就是趨勢科技所偵測到的 TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。
漏洞攻擊與惡意程序植入的合作關系我們在這里只想大家介紹了一部分,在以后的文章中,我們還會繼續(xù)向大家介紹的,希望大家多多掌握。
【編輯推薦】
