在成功入侵用戶電腦之后,該漏洞就會(huì)從上述位置中下載可執(zhí)行文件,并將其保存在以下目錄中:C:Documents and SettingsLocal SettingsTempwinword.exe。目前,Websense安全專家們檢測(cè)到的木馬文件下載地址分別是:hxxp://myflatnet.com/bruce_2/winword.exe、hxxp://myflatnet.com/new_red/winword.exe以及hxxp://myflatnet.com/ralph_3/winword.exe。

下載的Winword.exe文件實(shí)際上是一個(gè)包含可執(zhí)行文件和虛假Word文檔的RAR自解壓文件。在運(yùn)行之后,Winword.exe就會(huì)將另一個(gè)可執(zhí)行文件(Updates.exe)解壓到C:Documents and SettingsUpdates.exe,然后執(zhí)行。Updates.exe是一個(gè)后門程序,它可以讓攻擊者成功控制受害者的電腦。

此外,包含在Winword.exe壓縮文件中的虛假文檔也會(huì)保存在同一個(gè)文件夾下。在對(duì)虛假文件內(nèi)容的檢測(cè)過(guò)程中,Websense安全專家發(fā)現(xiàn),此次攻擊貌似是針對(duì)巴基斯坦發(fā)起的,但是卻在已發(fā)送的電子郵件收件人列表中出現(xiàn)了阿聯(lián)酋、印度以及其他南亞國(guó)家金融、制造、軟件和旅游等行業(yè)的用戶。而且,發(fā)件人網(wǎng)域主要來(lái)自印度和阿聯(lián)酋(但這些也極有可能是經(jīng)過(guò)偽造的)。

惡意軟件域名注冊(cè)信息

托管“winword.exe”可執(zhí)行文件的域名myflatnet.com于2013年5月28日注冊(cè),并在次日進(jìn)行了更新,該域名的名稱服務(wù)器是NS1.MYFLATNET.COM和NS2.MYFLATNET.COM,注冊(cè)地點(diǎn)在烏克蘭的利沃夫,注冊(cè)人郵箱為arlenlloyd@outlook.com。

兩起利用相同漏洞發(fā)起的攻擊活動(dòng)

2013年10月28日,Websense監(jiān)測(cè)到一起惡意電子郵件攻擊活動(dòng),攻擊使用的電子郵件中包含兩個(gè)附件,同時(shí)利用了微軟Word Docx附件中的CVE-2013-3906漏洞以及更為常見的Doc附件中的CVE-2013-0158漏洞。

如下圖所示,電子郵件主題為“SWIFT $142,000 $89,000”。Websense ThreatSeeker網(wǎng)絡(luò)已成功檢測(cè)出數(shù)百個(gè)發(fā)送至阿聯(lián)酋某一金融企業(yè)的惡意郵件,這些郵件來(lái)自羅馬尼亞,原始IP地址為83.103.197.180。

郵件中名為“$142,000.docx”的附件利用了CVE-2013-3906漏洞。這個(gè)文件中使用到的惡意代碼與先前的例子中所使用的并不相同,而是利用了帶有相似熵值A(chǔ)ctiveX組件。郵件中另一個(gè)附件是“$89,000.doc”,此附件中則利用了更早一些的CVE-2012-0158漏洞,此漏洞可以鏈接至hxxp://switchmaster.co.in/simples/disk.exe中。

Websense安全防護(hù)

Websense的用戶可以得到高級(jí)分類引擎(ACE™)以及Websense ThreatScope™的充分保護(hù)。Websense的監(jiān)測(cè)數(shù)據(jù)顯示,使用此漏洞發(fā)起的攻擊數(shù)量非常有限,但是ACE仍然可以在攻擊鏈的多個(gè)步驟中保護(hù)用戶安全,詳情如下:

第四階段(漏洞利用工具包)—ACE可以檢測(cè)惡意DOC文件以及相關(guān)的惡意URL。

第五階段(木馬文件)—ACE可以檢測(cè)該漏洞攜帶的自解壓RAR文件。ThreatScope的行為分析引擎則將其行為歸類為可疑行為。

ACE還可以檢測(cè)壓縮在RAR文件中的后門可執(zhí)行文件,ThreatScope將其歸類為可疑文件。

Websense專家建議

Websense安全專家提醒所有使用易受攻擊Office版本的用戶,當(dāng)收到帶有附件的電子郵件時(shí),除了在打開附件之前保持高度警惕,還可以在新的可用更新發(fā)布之前安裝微軟Fix it 51004來(lái)緩解此漏洞帶來(lái)的安全問(wèn)題,提高安全防御等級(jí)。此外,由于該漏洞的攻擊范圍較大,Websense安全專家預(yù)測(cè)在未來(lái)數(shù)月內(nèi)仍將有許多攻擊人員利用此漏洞發(fā)起針對(duì)性和大規(guī)模攻擊。但幸運(yùn)的是,此漏洞攻擊利用的是微軟Office文檔,因此不會(huì)很快整合進(jìn)Neutrino、Styx和Magnitude等基于Web的漏洞利用工具包中。在未來(lái),Websense仍將繼續(xù)監(jiān)測(cè)此漏洞的動(dòng)態(tài),包括在未來(lái)的攻擊中的使用情況。

分享到

wangxueyang

相關(guān)推薦