IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

Nitro攻击明目张胆 利用Java零日差漏洞扩散

2012年09月19日
赛迪网/子鉃

 

2011年10月,我们记录了一种有目标的特殊攻击活动,即Nitro攻击。在当时的攻击情况中,攻击者主要以化工企业为攻击目标。尽管我们投入精力揭露并公布了这些攻击幕后的详情,但这些攻击者们依然明目张胆,甚至在他们的社会工程活动中使用我们自己的报告!

不过,这些攻击者们也在快马加鞭。目前已经观察到对一种新型Java零日差漏洞的利用正在扩散。我们可以确定,此轮攻击背后的部分攻击者正是Nitro团伙。

Nitro攻击者一贯采用的手法就是向受害者发送一封电子邮件。这封电子邮件包含一个附件,该附件是受密码保护的自解压zip文件。这封电子邮件自称是对经常安装的软件中某个组件的更新。沦为攻击目标的用户解压缩并运行该文件后,便会感染Backdoor.Darkmoon(也称作 Poison Ivy)的一份副本。

在这些最新的攻击中,攻击者们形成了一种更为复杂一些的伎俩。他们采用以.jar文件形式寄宿在网站上的Java零时差攻击方式来感染受害者。正如在之前记录的攻击中所表现出来的行为那样,这些攻击者们使用 Backdoor.Darkmoon重用命令和控制基础架构,甚至重用诸如Flash_update.exe之类的文件名。可能这些攻击者会向锁定为目标的用户发送电子邮件,而邮件中则包含了指向恶意jar文件的链接。Nitro攻击者们似乎仍在继续实施他们之前的恶行。

Oracle已经发布了一款修补程序(即Java SE 7更新 7),此修补程序可解决CVE-2012-4186所述的漏洞。建议用户下载这项最新更新。

热点病毒

病毒名:Backdoor.Hikit

病毒类型:Trojan

受影响系统:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一种在被感染的计算机上打开后门的木马。该木马在运行时,会创建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接着它会释放一个32位或者64位的驱动(这取决于用户的操作系统):

%System%\drivers\W7fw.sys

然后该病毒会用未经验证的认证引导这个驱动,同时也会修改相应的注册表键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

该病毒允许远程攻击者在被感染的计算机上完成下列的命令:

打开通过SOCKS5 proxy的连接

下载文件到被感染的计算机上

上传文件到远程位置

开启一个command shell

停止执行

资料来源:赛门铁克互联网疫情通报

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

梭子鱼警示:“捣蛋猪”与“愤怒的小鸟”陷井
梭子鱼警示:“捣蛋猪”与“愤怒的小鸟”陷井9月27日,愤怒的小鸟之父正式发布一款新的游戏-- 捣蛋猪,很快该游戏深受玩家青睐...
卫士通安全桌面云方案亮相信息安全高峰论坛
卫士通安全桌面云方案亮相信息安全高峰论坛日前,由《信息安全与通信保密》杂志社主办的2012中国信息安全高峰论坛在成都举行...

本类热点