暗藏陰謀?相同漏洞代碼的零時(shí)差攻擊頻現(xiàn)
“Watering Hole(水坑)”是用來(lái)描述針對(duì)性惡意軟件攻擊時(shí),攻擊者入侵合法網(wǎng)站插入一個(gè)“偷渡式”漏洞攻擊代碼,借此攻擊網(wǎng)站訪客的流行用語(yǔ)。
當(dāng)然,這種攻擊并不是最新的。這項(xiàng)技術(shù)一直被網(wǎng)絡(luò)犯罪份子用在無(wú)差別攻擊,以及針對(duì)性惡意軟件攻擊上。我在 2009 年和 2010 年記錄了這種技術(shù),而這里有更多最近的例子。
雖然網(wǎng)絡(luò)犯罪份子利用偷渡式漏洞攻擊碼是為了能夠不分對(duì)象地攻擊入侵更多計(jì)算機(jī),而使用這種技術(shù)的 APT 高級(jí)持續(xù)性滲透攻擊活動(dòng)則被 Shadowserver 恰當(dāng)?shù)孛枋鰹?ldquo;策略式網(wǎng)站入侵”。目標(biāo)的選擇是針對(duì)攻擊對(duì)象會(huì)感興趣的特定內(nèi)容。這種攻擊通常會(huì)結(jié)合新的偷渡式漏洞攻擊碼。
最近,一個(gè)影響微軟 Internet Explorer 的零時(shí)差漏洞攻擊碼被發(fā)現(xiàn)位于跟 Nitro 攻擊活動(dòng)有關(guān)的服務(wù)器上,和最近用來(lái)提供 Java 零時(shí)差漏洞攻擊碼是同一臺(tái)服務(wù)器。它們的有效負(fù)荷都是 Poison Ivy。第二個(gè)放有 Internet Explorer 零時(shí)差漏洞攻擊碼的網(wǎng)站很快就被發(fā)現(xiàn),不過(guò)它的有效負(fù)荷是 PlugX。
整體而言,我們已經(jīng)發(fā)現(xiàn)了至少 19 個(gè)網(wǎng)站包含 IE 零時(shí)差漏洞攻擊碼。雖然無(wú)法完全的確認(rèn),但至少有部分網(wǎng)站屬于“水坑”攻擊。
有趣的是,這 19 個(gè)網(wǎng)站可以分成 14 組。換言之,除了利用此漏洞的共同點(diǎn)外,他們之間沒(méi)有任何明顯的關(guān)連。從其中 11 組中,我們發(fā)現(xiàn)了 11 種不同的有效負(fù)荷(其他三組,我們無(wú)法收集到有效負(fù)荷)。
除了和 Nitro 相關(guān)的 Poison Ivy 還有上面所提到的 PlugX 遠(yuǎn)程控制木馬外,趨勢(shì)科技發(fā)現(xiàn)了其他熟悉的遠(yuǎn)程控制木馬,和一些不熟悉的(至少對(duì)我來(lái)說(shuō))惡意軟件。其中一個(gè)被識(shí)別出的遠(yuǎn)程控制木馬是 invitation.{BLOCKED}as.com 的有效負(fù)荷,被稱為“DRAT”遠(yuǎn)程訪問(wèn)木馬,這是由“Dark Security Team”所開(kāi)發(fā)的遠(yuǎn)程訪問(wèn)木馬,并且在網(wǎng)絡(luò)上被廣泛使用。
DRAT 是一個(gè)全功能的遠(yuǎn)程訪問(wèn)木馬,讓攻擊者完全控制入侵的計(jì)算機(jī)。這個(gè) DRAT 被設(shè)定連到 {BLOCKED}le.moo.com({BLOCKED}.{BLOCKED}.229.82)。
另一個(gè)特別的木馬程序出現(xiàn)在被入侵的國(guó)防新聞網(wǎng)站,會(huì)訪問(wèn) Elderwood 攻擊者。這個(gè)例子中所使用的加殼程序和 Hydraq 木馬程序所使用一樣的加殼程序,這支木馬程序因?yàn)楸挥迷趯?duì) Google 和其他 30 家公司的 Aurora 攻擊而惡名昭彰。這支木馬(被稱為“NAID”)也是在 2012 年 6 月被嵌入到被入侵人權(quán)組織網(wǎng)站的漏洞攻擊碼的有效負(fù)荷。在這個(gè)例子中,一個(gè)被入侵的國(guó)防相關(guān)新聞網(wǎng)站被放置了會(huì)植入 NAID 木馬程序的 IE 零時(shí)差漏洞攻擊碼,進(jìn)而連到 support.{BLOCKED}b.com({BLOCKED}.{BLOCKED}.170.163)。
短時(shí)間內(nèi)有多個(gè)惡意威脅份子使用相同的零時(shí)差漏洞攻擊碼,這可能代表該漏洞攻擊碼被其開(kāi)發(fā)者分享或出售給多個(gè)營(yíng)運(yùn)商。通常一個(gè)零時(shí)差漏洞攻擊碼會(huì)用在一個(gè)特定攻擊活動(dòng),再由其他惡意威脅份子所使用,不過(guò)是在漏洞修補(bǔ)程序已經(jīng)被釋出時(shí)。這次 IE 零時(shí)差漏洞攻擊碼的散布模式卻是為了最大化其影響,讓各營(yíng)運(yùn)商在還沒(méi)有修補(bǔ)程序發(fā)表前都可以針對(duì)自己的目標(biāo)發(fā)動(dòng)攻擊。
注釋:作者Jessa dela Torre /Nart Villeneuve現(xiàn)為趨勢(shì)科技資深威脅研究員。
