Anatomy of an Attack - Zero Day Exploit
Spisu treści:
Ataki odkryte w zeszłym tygodniu, które wykorzystywały nieznaną wcześniej lukę w Javie, zostały prawdopodobnie wywołane przez tych samych napastników, którzy wcześniej celowali w bezpieczeństwo. Firma Bit9 i jej klienci, według naukowców od producenta antywirusa Symantec.
Badacze bezpieczeństwa z FireEye, którzy odkryli w zeszłym tygodniu nowe ataki Java, powiedzieli, że exploit w Javie instaluje kawałek szkodliwego oprogramowania o nazwie McRAT.
zagrożenie, które produkty Symantec wykrywają jako Trojan.Naid, łączy się z serwerem Command & Control (C & C) przy użyciu adresu IP 110.173.55.187 (protokół internetowy), Symantec r esearchers powiedział w piątek w poście na blogu.
[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]"Co ciekawe, próbka Trojan.Naid została również podpisana przez zaatakowany certyfikat Bit9 omawiany w aktualizacji incydentu bezpieczeństwa Bit9 i użyte w ataku na inną partię "- powiedzieli. "W tym przykładzie wykorzystano także adres IP serwera komunikacyjnego kanału zwrotnego 110.173.55.187."
Skradziono certyfikat
W zeszłym miesiącu Bit9, firma sprzedająca produkty zabezpieczające przy użyciu technologii białej listy, ogłosiła, że hakerzy włamali się na jeden z serwerów i użyli jeden z cyfrowych certyfikatów firmy do podpisywania złośliwego oprogramowania. To złośliwe oprogramowanie zostało następnie użyte w atakach przeciwko kilku amerykańskim organizacjom, powiedziała firma.
"W kolejnych atakach na trzy docelowe organizacje, atakujący zdawali się już zagrozić konkretnym stronom internetowym (atak w stylu wodopoju, podobny do tego, został niedawno zgłoszony przez Facebooka, Apple i Microsoft) ", powiedział w poniedziałek CTO firmy Harry'ego, Harry'ego Sverdlove'a. "Uważamy, że atakujący umieścili złośliwy aplet Javy w tych witrynach, które używały luki w zabezpieczeniach Javy, aby dostarczyć dodatkowe złośliwe pliki, w tym pliki podpisane przez zaatakowany certyfikat."
Jeden z tych złośliwych plików połączonych z powrotem do adresu IP "110.173. 55.187 "nad portem 80, powiedział CTO Bit9. Adres IP jest zarejestrowany na adres w Hongkongu.
"Atakujący Trojan.Naid byli wyjątkowo wytrwali i wykazali swoje wyrafinowanie w wielu atakach" - stwierdzili naukowcy Symantec. "Ich główną motywacją było szpiegostwo przemysłowe w różnych sektorach przemysłu."
Szukaj błędów zero-day
Ataki, które uruchamiają, zwykle dotyczą luki zero-day. W 2012 roku przeprowadzili atak wodopojów - atak, w wyniku którego infekowała strona odwiedzana często przez zamierzone cele - w Internet Explorerze wykorzystano lukę zero-dniową, jak stwierdzili naukowcy Symantec.
Oracle musi jeszcze ujawnić swoje plany poprawek dla tej najnowszej luki Javy. Następna aktualizacja zabezpieczeń Java została zaplanowana na kwiecień, ale firma może zdecydować o wydaniu wcześniej aktualizacji awaryjnej.
Badacze bezpieczeństwa zalecili użytkownikom, którzy nie potrzebują dostępu do internetowych treści Java, aby usunąć wtyczkę Java z ich przeglądarek. Najnowsza wersja Java-Java 7 Update 15-udostępnia opcję za pośrednictwem panelu sterowania, aby wyłączyć wtyczki Java lub wymusić monit o potwierdzenie, zanim aplety Java będą mogły działać w przeglądarce.
Sun chce zbudować największy na świecie sklep z aplikacjami w języku Java
Firma Sun planuje otworzyć sklep Java App Store, aby dystrybuować programy Java, takie jak Apple sprzedaje iPhone'a aplikacje.
Adobe Reader pod atakiem na zero dni
Oszuści online używają pliku .pdf z wiadomością e-mail, aby wykorzystać nową lukę zero-day w Adobe Reader i Acrobat i zainstaluj trojana.
Websense: większość przeglądarek obsługujących język Java jest podatnych na rozprzestrzenianie exploitów w języku Java
Większość instalacji przeglądarki używa nieaktualnych wersji wtyczki Java, które są podatne na co najmniej jeden z kilku exploitów obecnie używanych w popularnych zestawach narzędzi do ataków internetowych, zgodnie ze statystykami opublikowanymi przez dostawcę zabezpieczeń Websense.