Forcepoint™ (原Raytheon | Websense) APT防禦介紹- Blackhole 漏洞工具防禦介紹

在Forcepoint™(原Raytheon | Websense) Security Labs持續監控新威脅之下,發現惡名昭彰之Blackhole Exploit Kit,我們透過一下分析告知您目前最猖獗的web-based入侵工具的運作模式及Forcepoint™(原Raytheon | Websense)研究人員如何防禦此攻擊手法。 黑洞攻擊工具是個”現成的”惡意Web應用程序。該工具的第一版(v.1.0.0 Beta) 在2010年8月時在黑市做了廣告名為“system for network testing”。與大部分的漏洞工具相比它是基於由PHP和MySQL。此工具通常針對Windows系統和Windows應用程序,但真正的動機決於罪犯的目標。 該套件的管理系統包括了幾個“統計工具” 。大部件提供了工具的信息,如全球的統計數據,操作系統,前幾名國家的資訊。該工具有一個有趣的特點是犯罪者可以建立自定義視窗,可以把重要的和必需的統計數據聚集在一起顯示。 Blackhole攻擊工具使用了多種保護機制,如:整合了流行的駭客AVCheck服務防毒API。有禁止存取的黑名單清單,包括IP清單、IP網段,以阻止攻擊此系統。 該工具的設置允許犯罪者選擇2種語言介面,有俄語、英語界面,這表明該工具在俄羅斯開發的。此外,以俄羅斯的命名方法和參數可能使漏洞工具難以透過的AV檢測。此工具會進行自定義演算法加密,會順利通過AV的檢測。Blackhole攻擊工具使用Java OBE (Open Business Engine)來開發此工具,成功地掛載惡意到可執行的受害者電腦。一旦受害者點擊惡意的iFrame ,一個JAR文件被下載,而這個JAR文件被解碼成一個明文的URL 。該URL會使用GET參數用來下載其他惡意代碼的文件。該開發工具會進行加密 (PHP-cryptor),這手法非常成熟。該套件只有以“租借”的方式而不出售與其它的漏洞工具不同。 這裡是一個截圖的畫面: 這裡是一個截圖的畫面: 下面是windows系統漏洞被黑洞攻擊工具運用的清單:
CVE-2012-4681
CVE-2012-1889
CVE-2012-1723
CVE-2012-0507
CVE-2011-3544
CVE-2011-2110
CVE-2011-0611
CVE-2010-3552
CVE-2010-0188
舊型的漏洞一直被使用
CVE-2010-1885
CVE-2010-1423
CVE-2010-0886
CVE-2010-0842
CVE-2010-0840
CVE-2009-1671
CVE-2009-0927
CVE-2008-2992
CVE-2007-5659
CVE-2006-0003
在Blackhole的新版本開發工具包(版本1.2.5 )被一直在地下論壇宣傳: 新的版本 Blackhole exploit kit (Version 2)在2012年9月被發表,更多資訊可以點擊以下內容 http://community.websense.com/blogs/securitylabs/archive/2012/09/13/blackhole-exploit-kit-updates-to-2-0.aspx   2013年7月又有新的版本更新 惡名昭彰的Blackhole新版本透過一系列的惡意電子郵件活動引起了我們的注意。在這個版本的重點更新,吸引了我們的注意,包括: 1.在電子郵件中過長的HTML查詢結構
新的URL結構明顯較長,超過60個字元。在以往的舊型URL結構通常用簡短的HTML查詢或特定的HTML頁面。下圖顯示的URL結構及電子郵件誘惑的樣式。
2.混淆的HTML內容 正如你所看到的,新的HTML內容在一開始的重新導向被模糊處理。以前的方式只用一個簡單的location.replace()函數和清晰簡單的PHP做重新導向。 3.漏洞工具 最後,最近的頁面比以前利用的網頁小很多。下圖,你可以清楚地看到惡意檔案放在iframe中。在之前的活動中,您將需要去解碼混淆的頁面才可以了解該代碼在做什麼。   結論 現今幾乎所有的網絡攻擊都透過複雜的架構和引誘工具,讓網絡罪犯者能夠迅速推出新的攻擊,從而避開傳統的防禦系統。最好的防禦方法是了解攻擊模式,藉此提高你的防禦層級。一個最好的方法就是可以把威脅分割並逐一防禦。針對APT的攻擊,犯罪者往往會透過社群(社交工程)引誘攻擊階段開始,所以透過深入網頁內容分析的技術就可以讓你避免遭受APT攻擊的開始,確保企業員工有一個乾淨上網的環境。   資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 【文章來源:http://community.websense.com/blogs/securitylabs/pages/black-hole-exploit-kit.aspx websense 主題:Blackhole 漏洞工具介紹 發文時間:2011/2/24