Nitro攻击明目张胆 利用Java零日差漏洞扩散

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

 

2011年10月,我们记录了一种有目标的特殊攻击活动,即Nitro攻击。在当时的攻击情况中,攻击者主要以化工企业为攻击目标。尽管我们投入精力揭露并公布了这些攻击幕后的详情,但这些攻击者们依然明目张胆,甚至在他们的社会工程活动中使用我们自己的报告!

不过,这些攻击者们也在快马加鞭。目前已经观察到对一种新型Java零日差漏洞的利用正在扩散。我们可以确定,此轮攻击背后的部分攻击者正是Nitro团伙。

Nitro攻击者一贯采用的手法就是向受害者发送一封电子邮件。这封电子邮件包含一个附件,该附件是受密码保护的自解压zip文件。这封电子邮件自称是对经常安装的软件中某个组件的更新。沦为攻击目标的用户解压缩并运行该文件后,便会感染Backdoor.Darkmoon(也称作 Poison Ivy)的一份副本。

在这些最新的攻击中,攻击者们形成了一种更为复杂一些的伎俩。他们采用以.jar文件形式寄宿在网站上的Java零时差攻击方式来感染受害者。正如在之前记录的攻击中所表现出来的行为那样,这些攻击者们使用 Backdoor.Darkmoon重用命令和控制基础架构,甚至重用诸如Flash_update.exe之类的文件名。可能这些攻击者会向锁定为目标的用户发送电子邮件,而邮件中则包含了指向恶意jar文件的链接。Nitro攻击者们似乎仍在继续实施他们之前的恶行。

Oracle已经发布了一款修补程序(即Java SE 7更新 7),此修补程序可解决CVE-2012-4186所述的漏洞。建议用户下载这项最新更新。

热点病毒

病毒名:Backdoor.Hikit

病毒类型:Trojan

受影响系统:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一种在被感染的计算机上打开后门的木马。该木马在运行时,会创建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接着它会释放一个32位或者64位的驱动(这取决于用户的操作系统):

%System%\drivers\W7fw.sys

然后该病毒会用未经验证的认证引导这个驱动,同时也会修改相应的注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

该病毒允许远程攻击者在被感染的计算机上完成下列的命令:

打开通过SOCKS5 proxy的连接

下载文件到被感染的计算机上

上传文件到远程位置

开启一个command shell

停止执行

资料来源:赛门铁克互联网疫情通报

标签: 电子邮件 互联网 漏洞 企业 网站 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:潘柱廷当选2012年度十大CTO

下一篇:网络“浮云”病毒俩月卷款千万元