當心!Flash Player最新安全弱點 & Nuclear弱點攻擊套件動向

2015-12-03 先前,我們講述過關於使用Nuclear弱點攻擊套件針對印尼主要新聞網站發動惡意廣告攻擊。現在,我們又發現到另一個成為Nuclear弱點攻擊套件的受害網站,同時我們也接獲到Adobe Flash Player最新弱點已遭惡意攻擊套件利用的消息。需要特別留意的關鍵點是,這項惡意行為不需使用者點擊任何操作 – 只要瀏覽到受感染的網站,我們的電腦就會被執行惡意程式。 Forcepoint™(原為 Raytheon | Websense)透過ACE即時分析保護客戶免於此類型的威脅攻擊,Websense進階分類引擎(Advanced Classification Engine)能在不同的攻擊分析階段發揮有效保護。 受害網站 透過查閱當日安全事件相關的熱門點閱率,我們發現到一個名為thisblewmymind[.]com的網站。此網站自稱是「病毒媒介中樞」,因為事實上此網站確實可能會下載病毒到您的電腦上。Google搜尋驗證判定顯示此網站可能已遭到攻擊: 根據SimilarWeb統計顯示這個網站十分熱門,目前每月有近200萬的點閱人次: 但令人感到憂心的是,一般民眾只要瀏覽到這個網站便會被掛載偽裝的JavaScript,其目的是為了誘發後端的Nuclear弱點攻擊套件和載入惡意程式。 Flash Player弱點 目前Adobe Flash Player(19.0.0.207)的安全性弱點,已被Nuclear弱點攻擊套件納入可進行惡意攻擊的清單項目中。這表示Nuclear和Angler弱點攻擊套件,已可利用最新的Flash弱點(CVE-2015-7645)來發動惡意攻擊。而實際上Nuclear弱點攻擊套件中的SWF檔案樣本含有兩種不同的Flash Player弱點,並且可以依照現在目標的Flash Player版本,來動態掛載對應的弱點攻擊項目。如果偵測到18.0.0.203或更舊版本,將會選用(CVE-2015-5122)安全性弱點進行攻擊。若偵測到非此安全性弱點對應的版本,則會改用適用於新版本的安全性弱點來執行惡意攻擊。 我們成功拆解分析出新的SWF漏洞,並發現VirusTotal自10/31開始也納入此項目。 惡意程式裝載 不同於一般弱點攻擊套件的惡意程式裝載,能夠在實務應用上讓Gamarue和CryptoWall3.0透過Flash Player的安全性弱點來觸發惡意活動。 Apple經銷合作夥伴「FunkyClock」,現正舉辦一元iPhone6S促銷活動的詐騙文章,若您點擊連結將會被重新導向到igadgete.com的假新聞頁面。另外,我們也發現到另一版本的詐騙頁面latribune.igadgete.com。 Gamarue本身屬於模組化病毒,其惡意程式外掛來自Andromeda botnet。通常廣泛運用在竊取憑證方面上的活動。CryptoWall3.0則為惡意加密的勒贖軟體,一旦檔案遭受加密將會要求被害人支付贖金(比特幣)以獲取解鎖金鑰: 受害目標 以下為本文威脅攻擊的部分受害目標:
hxxp://thisblewmymind[.]com - 受害網站
hxxp://cdn[.]goroda235[.]pw/ - 惡意行為的重新導向服務
hxxp://zadnicaberezu[.]tk/ - Nuclear 弱點攻擊套件
2ed1953d2b182a0319041e73f6489d4151475dff - Nuclear EK SWF
36356533f44d6107d49662c78a56149e2f359fcc - Nuclear EK SWF (自解壓縮)
3d5682ac799cace0325ca5437445fd3c163ee4ff – Gamarue
9d3cc04dc97d0791565cf69778ee864f8af5d7f7 - CryptoWall 3.0
摘要總結 Nuclear弱點攻擊套件開發者正在試圖整合不同層面的惡意軟體,並利用Adobe Flash Player最新的安全性弱點和入侵熱門網站等方式來創造受害者數量規模的最大化。所以雖然是老生常談,但還是要提醒大家所有安裝軟體盡可能的保持在最新版本,特別是和瀏覽器相關的主要程式以及類似Adobe Flash Player的外掛元件,並且在操作時避免點擊任何不明來歷的檔案連結,以保障您的數據資料安全。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 參考資料:Websense Security Labs 原文網址:http://community.websense.com/blogs/securitylabs/archive/2015/11/05/newest-flash-player-exploit-amp-double-nuclear-exploit-kit-payload.aspx 原文標題:Newest Flash Player Exploit & Double Nuclear Exploit Kit Payload