Java、fileless惡意軟件威脅桌面安全
工作原理:用戶訪問一個受侵的網(wǎng)站,不小心下載了最新類型的惡意軟件。如果你的殺毒軟件運(yùn)行良好的話,就會阻止下載,至少能夠檢測到并隔離硬盤上的入侵文件。但是如果硬盤上沒有文件監(jiān)測呢?如果惡意軟件只入侵內(nèi)存,運(yùn)行在受信任的進(jìn)程中呢?
這正是在今年年初發(fā)生在俄羅斯的事情。超過3萬臺計(jì)算機(jī)感染了一種獨(dú)特類型的惡意軟件——fileless僵尸程序。在僵尸程序肆無忌憚地感染幾個月后,卡巴斯基實(shí)驗(yàn)室聲明已經(jīng)發(fā)現(xiàn)了一個罕見的感染,通過俄羅斯在線信息資源進(jìn)行傳播。廣告由AdFox(一個第三方廣告網(wǎng)絡(luò))提供給網(wǎng)站,Java惡意軟件包含其中,通過瀏覽器從網(wǎng)絡(luò)罪犯控制的服務(wù)器下載。
fileless僵尸程序入侵原理
第一步:用戶訪問受感染的網(wǎng)站。用戶甚至不需要干其他的事情,便不知不覺地被重定向到罪犯的服務(wù)器上,我們稱之為“主服務(wù)器”。
第二步:主服務(wù)器將一個加密的動態(tài)鏈接庫(DLL)文件注入到用戶的電腦上的Java進(jìn)程(javaw.exe)中。Java進(jìn)程運(yùn)行在內(nèi)存中。DLL利用一個眾所周知的Java漏洞。
第三步:惡意軟件建立用戶計(jì)算機(jī)和主服務(wù)器之間的通信。被感染的計(jì)算機(jī)的技術(shù)細(xì)節(jié)信息被發(fā)送到主服務(wù)器。從這個意義上說,惡意軟件和其他僵尸程序一樣——作為一個軟件僵尸程序,可以在互聯(lián)網(wǎng)上執(zhí)行自動化的任務(wù)。但是,AdFox是無實(shí)體文件的,只在內(nèi)存中運(yùn)行。
第四步:惡意軟件令用戶帳戶控制(UAC)失去效力。UAC是一個Windows安全組件,保護(hù)用戶的系統(tǒng)免受黑客攻擊。惡意軟件利用權(quán)限再次安裝一個更有破壞力的惡意軟件。在俄羅斯計(jì)算機(jī)事件中,下載的惡意軟件是Lurk Trojan,主要竊取敏感數(shù)據(jù)來訪問網(wǎng)上銀行服務(wù)。
第五步:Lurk Trojan突襲cookie jar。
Java漏洞
正如上面提到的,fileless惡意軟件利用了眾所周知的Java漏洞(CVE-2011-3544)。俄羅斯事件中,網(wǎng)絡(luò)罪犯利用此漏洞攻擊Windows計(jì)算機(jī)。但是,Mac OS也支持Java,因此Apple計(jì)算機(jī)也可能受到感染。幸運(yùn)的是,Oracle在2011年10月推出補(bǔ)丁,只有電腦沒有更新,因此易受感染。
然而,對于那些沒有補(bǔ)丁的計(jì)算機(jī),罪犯可以輕而易舉地將僵尸程序加載到受信任的Java進(jìn)程中。大多數(shù)情況下,殺毒軟件檢測不到。僵尸程序本質(zhì)上是無行的。
網(wǎng)絡(luò)罪犯使用AdFox用戶帳號更改了俄羅斯網(wǎng)站上的banner代碼。特意往代碼中添加了JavaScript IFrame。IFrame是內(nèi)聯(lián)框架,允許單獨(dú)的HTML文件被加載到一個單獨(dú)的文檔。在IFrame內(nèi),他們嵌入一個加密的鏈接,將用戶重定向到.EU域中的主服務(wù)器。
Fileless造成的麻煩
雖然這次暴風(fēng)式的對俄羅斯的襲擊很少見,但是過去的十年里也發(fā)生過類似的情況,最具代表性的是紅色代碼和監(jiān)獄蠕蟲。兩者皆利用了緩沖區(qū)溢出的弱點(diǎn)。
這些攻擊已經(jīng)發(fā)生過幾次,沒有不再出現(xiàn)的理由。也并不只針對俄羅斯或Windows計(jì)算機(jī)。也不局限于是Lurk Trojan。其他國家和操作系統(tǒng)也是很可能遭受攻擊的,其他的惡意軟件也可能輕易地傳播開來。
好消息是,因?yàn)閒ileless僵尸程序只存在內(nèi)存中,只需要重啟操作系統(tǒng)就能解決問題(如果不是已經(jīng)太晚了的話)。只要用戶不訪問相同的或其他受感染的網(wǎng)站,應(yīng)該不會有再大的問題。當(dāng)然,你也需要確保計(jì)算機(jī)上的Java應(yīng)用程序定時更新最新的安全補(bǔ)丁。這至少會免受俄羅斯僵尸程序的襲擊。
但與惡意軟件的不同類型一樣,規(guī)則也不斷改變。你可以保護(hù)用戶避免最新的fileless攻擊,但沒有理由假設(shè)每個人都是安全的。
另外,蘋果最新聲明,在發(fā)布下一代Mac OS Update之前,瀏覽器里不會使用Jave。這是否與fileless僵尸程序有關(guān)無從定論。安全研究員Adam Gowdiak在報道中稱,已經(jīng)找到了兩個Java安全漏洞。所以蘋果顯然在確保自身安全。
