Websense(NASDAQ: WBSN)的ThreatSeeker收集日前成功检测出一路大年夜范围的收集报复打击,并对其进行了有效反对。此次报复打击勾当借助震动全球的波士顿马拉松爆炸事务,操纵人们对该事务的存眷,进行电子邮件传播,诡计将不知情的收件人引至歹意网站,经由过程进侵他们的电脑进行犯法勾当,获得巨额好处。
Websense安然专家应用高级威胁的7阶段编制对此次报复打击勾当进行了阐发,并具体讲述了犯法分子是若何棍骗用户并进侵他们的电脑的。同时,Websense安然专家指出,粉碎这7个阶段中的任何一个环节,都可以呵护暗藏的受害者。
第1阶段:窥伺
同其它良多基于热点话题或新闻事务的报复打击勾当一样,此次报复打击的目标是要进行大年夜范围的传播,而非针对特定小我或组织。鉴于此,犯法分子只需选定一个全球性的新闻事务(例如此次的波士顿马拉松爆炸案),然后将他们设计的钓饵发送给尽可能多的人。
第2阶段:钓饵
犯法分子充分操纵了人们的好奇心,出格是重大年夜事务产生以后,他们精心设计的钓饵就是要尽可能多地吸引受害者。Websense安然尝试室在监测此次电子邮件报复打击的过程中发现,犯法分子发送的电子邮件采取了诸如“最新动静——波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案视频”等主题,向收件人明白暗示该邮件中包含与爆炸事务相干的信息或新闻。并且大都环境下,邮件正文中只有一个形如http:///news.html或是http:///boston.html的简单URL,并没有更多的细节或信息。在这类环境下,收件人就会无意识地址击歹意链接。
第3阶段:重定向
在点击了链接以后,不知情的受害者就被犯法分子引至一个包含此次爆炸案YouTube视频的页面(以下图所示,报复打击者会成心地将具体内容恍惚化),与此同时,他们被iframe重定向到一个缝隙页面。
第4阶段:操纵缝隙东西包
经由过程对此次报复打击勾当中呈现的一系列歹意URL进行的阐发,Websense安然专家发现,犯法分子利用RedKit缝隙操纵东西包,并且操纵Oracle Java 7安然治理器的旁路缝隙,向我们的阐发电脑上发送文件。
第五阶段:木马文件
在此次报复打击勾当中,犯法分子并没有采取包含歹意代码并且可以躲过杀毒软件检测的木马文件,而是选用了一个Win32/Waledac家族的下载器,用来下载更多的歹意二进制文件。在此次报复打击中,两个名为Win32/Kelihos和Troj/Zbot的僵尸病毒被下载并安装到被传染电脑上,以便犯法分子将被传染电脑加进到其僵尸收集中。
第六阶段:主动传递 / 第七阶段:数据盗取
一旦被传染的电脑被收集罪犯节制,病毒则进行主动传递,被传染电脑就会发出长途号令,完成数据的发送与领受。对被传染电脑的常见威胁包含数据汇集和泄漏,如财务和小我信息盗取。其它风险包含发送未经许可的电子邮件或***介入漫衍式拒尽办事报复打击(DDoS报复打击)。
Websense安然专家指出,Websense高级分类引擎(ACE )可以帮忙用户匹敌这类类型的收集威胁。Websense ACE可以在犯法分子发出的钓饵达到终端用户之前将其反对,即便用户点击了歹意链接,对歹意地址的拜候也将被拒尽。不但如斯,经由过程与数据泄漏节制整合,Websense ACE还可以帮忙用户防御数据盗取,确保数据安然无虞。
别的,Websense安然专家也提示用户,为避免蒙受报复打击,他们该当直接从驰名新闻机构获得新闻,假定想帮忙爆炸案受害者(向本地病院献血或向救助机构捐募财物),切记要拜候这些新闻机构的官方网站,千万不要点击邮件中的链接。