近日,借助于Websense ThreatSeeker®智能云的帮忙,Websense®安然尝试室™的研究人员成功检测到一路歹意电子邮件报复打击事务,在此次报复打击事务中,报复打击者操纵源自福克斯新闻域名的捏造电子邮件地址,试图将受害者引至托管BlackHole缝隙操纵东西包的网站。一旦报复打击邮件成功进侵用户电脑,就会释放一个与Cridex病毒家族相干的歹意代码,用于盗取银行凭证、泄漏小我身份信息及其它私密信息,获得巨额犯法收益。Websense安然尝试室于6月27日检测到的这些歹意电子邮件以“最新新闻”为主题,仿照与“美国向叙利亚调派戎行”相干的合法新闻内容情势,意在诱使受害者点击歹意链接。此次报复打击波及了全球范围内的各类行业,截至6月27日下战书四点,Websense ThreatSeeker®智能云已检测并成功反对了60,000多个实例。下图为电子邮件截图:
被反对的电子邮件中包含新闻快讯,并且都是针对移平易近鼎新政策、反恐战争和向叙利亚调派驻军等当前最受欢迎和极具争议的话题,很有说服力,是以会引发收件人的欢愉爱好。Websense检测到的电子邮件主题首要有:“美国在叙利亚的军事勾当——这是第三次大年夜战的初步吗?”、“美国在叙利亚驻军19,000人”、“奥巴马向叙利亚调派驻军”等。
歹意电子邮件阐发
这些电子邮件中常常包含一系列可以重定向的链接,将用户引至供给歹意PDF文件的BlackHole缝隙操纵东西包。一旦此歹意PDF文件被打开,就会履行可以供给“CVE-2010-0188”缝隙的嵌进混合JavaScript代码。在被成功进侵的电脑上,shellcode会从以下网址下载一个歹意组件:
hxxp://sartorilaw.net/news/source_fishs.php?kxdtlz=1l:1g:1i:1o:1j&mbtdi=1k:33:1f:32:2w:30:1h:1o:1h:1g&swlpwu=1i&doko=vaif&wgnrppva=xoti
下图则是这些电子邮件中包含的可以实现重定向的链接:
shellcode所下载的歹意组件是一个木马病毒,它可以将歹意文件下载至被进侵的电脑上,并且可以经由过程映照驱动器与可移动驱动器进行传播。
歹意PDF文件阐发
报复打击者将Java脚本说话嵌进到歹意PDF文件中,此类文件成功进侵受害者的电脑后,就会生成Windows注册表项HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,可以在系统启动时主动运行,来保持本身的持久性。当歹意PDF文件开端履行时,就会打开8080端口上的良多HTTP链接,以下载更多的歹意载荷。端口信息以下图所示:
相干域名
上述的PDF缝隙可以下载托管在域名(hxxp://sartorilaw.net)上的歹意软件,该域名于2013年6月25日初次注册,操纵三个不合的IP地址(119.147.137.31、203.80.17.155、174.140.166.239),用来大年夜量托管歹意软件,Websense ThreatSeeker®智能云将其定性为歹意网站。以下是Websense ThreatSeeker®智能云所检测的域名注册信息:
歹意网域(hxxp://sartorilaw.net)
联系邮箱:soldwias@usa.com
域名注册人:Cabrieto,Debbie
别的,春联系邮箱和注册人的WhoIS查找显示,就在统一天,统一注册人统一邮箱注册了第二个域名(hxxp://enterxcasino.net)。这个域名并没有效于此次报复打击中,可是极有可能被报复打击者用于今后的某些歹意报复打击中。
影响和呵护办法
此次歹意电子邮件报复打击的整体影响很难往评定,可是报复打击者社会工程的高度复杂化与最新缝隙与歹意软件的利用都将为方针系统带来延续增加的风险。Websense安然专家暗示,Websense可以按照报复打击的不合阶段供给响应的呵护办法,与之前在Websense***上讲述的高级威胁的7个阶段比拟,在此次报复打击中,我们可以供给在以下几个阶段供给呵护办法:
第2阶段(钓饵)——以福克斯新闻为主题的电子邮件勾当
第3阶段(重定向)——将用户引至可以供给缝隙操纵代码的网站
第4阶段(缝隙操纵东西包)——及时检测用于此次报复打击的BlackHole缝隙操纵东西包
第6阶段(主动传递)——歹意PDF文件携带的代码可以与托管歹意软件的办事器联系,已被Websense成功反对。别的,还加进了阐发功能,检测并禁止用于此PDF文件的C2和谈。
第7阶段(数据盗取)——具有滴管式DLP、光学字符辨认(OCR)阐发和埋没通道检测等高级功能组的Websense的DLP(数据泄漏防护)东西可以或许检测并禁止敏感信息的泄漏。