国产一级一区二区_segui88久久综合9999_97久久夜色精品国产_欧美色网一区二区

掃一掃
關注微信公眾號

Nitro攻擊明目張膽 利用Java零日差漏洞擴散
2012-09-19   賽迪網

 

2011年10月,我們記錄了一種有目標的特殊攻擊活動,即Nitro攻擊。在當時的攻擊情況中,攻擊者主要以化工企業為攻擊目標。盡管我們投入精力揭露并公布了這些攻擊幕后的詳情,但這些攻擊者們依然明目張膽,甚至在他們的社會工程活動中使用我們自己的報告!

不過,這些攻擊者們也在快馬加鞭。目前已經觀察到對一種新型Java零日差漏洞的利用正在擴散。我們可以確定,此輪攻擊背后的部分攻擊者正是Nitro團伙。

Nitro攻擊者一貫采用的手法就是向受害者發送一封電子郵件。這封電子郵件包含一個附件,該附件是受密碼保護的自解壓zip文件。這封電子郵件自稱是對經常安裝的軟件中某個組件的更新。淪為攻擊目標的用戶解壓縮并運行該文件后,便會感染Backdoor.Darkmoon(也稱作 Poison Ivy)的一份副本。

在這些最新的攻擊中,攻擊者們形成了一種更為復雜一些的伎倆。他們采用以.jar文件形式寄宿在網站上的Java零時差攻擊方式來感染受害者。正如在之前記錄的攻擊中所表現出來的行為那樣,這些攻擊者們使用 Backdoor.Darkmoon重用命令和控制基礎架構,甚至重用諸如Flash_update.exe之類的文件名。可能這些攻擊者會向鎖定為目標的用戶發送電子郵件,而郵件中則包含了指向惡意jar文件的鏈接。Nitro攻擊者們似乎仍在繼續實施他們之前的惡行。

Oracle已經發布了一款修補程序(即Java SE 7更新 7),此修補程序可解決CVE-2012-4186所述的漏洞。建議用戶下載這項最新更新。

熱點病毒

病毒名:Backdoor.Hikit

病毒類型:Trojan

受影響系統:Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一種在被感染的計算機上打開后門的木馬。該木馬在運行時,會創建如下文件:%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接著它會釋放一個32位或者64位的驅動(這取決于用戶的操作系統):

%System%\drivers\W7fw.sys

然后該病毒會用未經驗證的認證引導這個驅動,同時也會修改相應的注冊表鍵值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

該病毒允許遠程攻擊者在被感染的計算機上完成下列的命令:

打開通過SOCKS5 proxy的連接

下載文件到被感染的計算機上

上傳文件到遠程位置

開啟一個command shell

停止執行

資料來源:賽門鐵克互聯網疫情通報

熱詞搜索:

上一篇:谷歌反對宏碁阿里合作 或致安卓陣營分裂
下一篇:外報:美國專家稱驗明兩大中國黑客組織

分享到: 收藏
主站蜘蛛池模板: 邳州市| 广宁县| 天台县| 巴楚县| 民和| 天全县| 巴林右旗| 即墨市| 水富县| 靖安县| 皮山县| 阿巴嘎旗| 长治县| 应城市| 仪征市| 离岛区| 抚松县| 六盘水市| 新乐市| 廉江市| 青海省| 五原县| 通州市| 罗山县| 错那县| 宜城市| 长汀县| 交口县| 渭源县| 茌平县| 凤冈县| 兴文县| 黑山县| 麦盖提县| 霞浦县| 兴业县| 永德县| 酉阳| 屯留县| 图木舒克市| 新绛县|