国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關注微信公眾號

Nitro攻擊明目張膽 利用Java零日差漏洞擴散
2012-09-19   賽迪網

 

2011年10月,我們記錄了一種有目標的特殊攻擊活動,即Nitro攻擊。在當時的攻擊情況中,攻擊者主要以化工企業為攻擊目標。盡管我們投入精力揭露并公布了這些攻擊幕后的詳情,但這些攻擊者們依然明目張膽,甚至在他們的社會工程活動中使用我們自己的報告!

不過,這些攻擊者們也在快馬加鞭。目前已經觀察到對一種新型Java零日差漏洞的利用正在擴散。我們可以確定,此輪攻擊背后的部分攻擊者正是Nitro團伙。

Nitro攻擊者一貫采用的手法就是向受害者發送一封電子郵件。這封電子郵件包含一個附件,該附件是受密碼保護的自解壓zip文件。這封電子郵件自稱是對經常安裝的軟件中某個組件的更新。淪為攻擊目標的用戶解壓縮并運行該文件后,便會感染Backdoor.Darkmoon(也稱作 Poison Ivy)的一份副本。

在這些最新的攻擊中,攻擊者們形成了一種更為復雜一些的伎倆。他們采用以.jar文件形式寄宿在網站上的Java零時差攻擊方式來感染受害者。正如在之前記錄的攻擊中所表現出來的行為那樣,這些攻擊者們使用 Backdoor.Darkmoon重用命令和控制基礎架構,甚至重用諸如Flash_update.exe之類的文件名。可能這些攻擊者會向鎖定為目標的用戶發送電子郵件,而郵件中則包含了指向惡意jar文件的鏈接。Nitro攻擊者們似乎仍在繼續實施他們之前的惡行。

Oracle已經發布了一款修補程序(即Java SE 7更新 7),此修補程序可解決CVE-2012-4186所述的漏洞。建議用戶下載這項最新更新。

熱點病毒

病毒名:Backdoor.Hikit

病毒類型:Trojan

受影響系統:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一種在被感染的計算機上打開后門的木馬。該木馬在運行時,會創建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接著它會釋放一個32位或者64位的驅動(這取決于用戶的操作系統):

%System%\drivers\W7fw.sys

然后該病毒會用未經驗證的認證引導這個驅動,同時也會修改相應的注冊表鍵值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

該病毒允許遠程攻擊者在被感染的計算機上完成下列的命令:

打開通過SOCKS5 proxy的連接

下載文件到被感染的計算機上

上傳文件到遠程位置

開啟一個command shell

停止執行

資料來源:賽門鐵克互聯網疫情通報

熱詞搜索:

上一篇:谷歌反對宏碁阿里合作 或致安卓陣營分裂
下一篇:外報:美國專家稱驗明兩大中國黑客組織

分享到: 收藏
主站蜘蛛池模板: 名山县| 宜兰市| 武宣县| 彰化县| 澳门| 南陵县| 荥经县| 福贡县| 遵化市| 南皮县| 辉南县| 通州市| 大化| 加查县| 益阳市| 隆尧县| 龙口市| 平阳县| 晋州市| 大渡口区| 建湖县| 丹棱县| 雅安市| 道孚县| 镇雄县| 潞西市| 故城县| 枣阳市| 汤原县| 高碑店市| 西藏| 曲水县| 邯郸市| 梧州市| 巢湖市| 祁阳县| 水城县| 泸定县| 察雅县| 佛坪县| 宽甸|