“Watering Hole(水坑)”是用来描述针对性恶意软件攻击时,攻击者入侵合法网站插入一个“偷渡式”漏洞攻击代码,借此攻击网站访客的流行用语。
当然,这种攻击并不是最新的。这项技术一直被网络犯罪份子用在无差别攻击,以及针对性恶意软件攻击上。我在 2009 年和 2010 年记录了这种技术,而这里有更多最近的例子。
虽然网络犯罪份子利用偷渡式漏洞攻击码是为了能够不分对象地攻击入侵更多计算机,而使用这种技术的 APT 高级持续性渗透攻击活动则被 Shadowserver 恰当地描述为“策略式网站入侵”。目标的选择是针对攻击对象会感兴趣的特定内容。这种攻击通常会结合新的偷渡式漏洞攻击码。
最近,一个影响微软 Internet Explorer 的零时差漏洞攻击码被发现位于跟 Nitro 攻击活动有关的服务器上,和最近用来提供 Java 零时差漏洞攻击码是同一台服务器。它们的有效负荷都是 Poison Ivy。第二个放有 Internet Explorer 零时差漏洞攻击码的网站很快就被发现,不过它的有效负荷是 PlugX。
整体而言,我们已经发现了至少 19 个网站包含 IE 零时差漏洞攻击码。虽然无法完全的确认,但至少有部分网站属于“水坑”攻击。
有趣的是,这 19 个网站可以分成 14 组。换言之,除了利用此漏洞的共同点外,他们之间没有任何明显的关连。从其中 11 组中,我们发现了 11 种不同的有效负荷(其他三组,我们无法收集到有效负荷)。
除了和 Nitro 相关的 Poison Ivy 还有上面所提到的 PlugX 远程控制木马外,趋势科技发现了其他熟悉的远程控制木马,和一些不熟悉的(至少对我来说)恶意软件。其中一个被识别出的远程控制木马是 invitation.{BLOCKED}as.com 的有效负荷,被称为“DRAT”远程访问木马,这是由“Dark Security Team”所开发的远程访问木马,并且在网络上被广泛使用。
DRAT 是一个全功能的远程访问木马,让攻击者完全控制入侵的计算机。这个 DRAT 被设定连到 {BLOCKED}le.moo.com({BLOCKED}.{BLOCKED}.229.82)。
另一个特别的木马程序出现在被入侵的国防新闻网站,会访问 Elderwood 攻击者。这个例子中所使用的加壳程序和 Hydraq 木马程序所使用一样的加壳程序,这支木马程序因为被用在对 Google 和其他 30 家公司的 Aurora 攻击而恶名昭彰。这支木马(被称为“NAID”)也是在 2012 年 6 月被嵌入到被入侵人权组织网站的漏洞攻击码的有效负荷。在这个例子中,一个被入侵的国防相关新闻网站被放置了会植入 NAID 木马程序的 IE 零时差漏洞攻击码,进而连到 support.{BLOCKED}b.com({BLOCKED}.{BLOCKED}.170.163)。
短时间内有多个恶意威胁份子使用相同的零时差漏洞攻击码,这可能代表该漏洞攻击码被其开发者分享或出售给多个营运商。通常一个零时差漏洞攻击码会用在一个特定攻击活动,再由其他恶意威胁份子所使用,不过是在漏洞修补程序已经被释出时。这次 IE 零时差漏洞攻击码的散布模式却是为了最大化其影响,让各营运商在还没有修补程序发表前都可以针对自己的目标发动攻击。
注释:作者Jessa dela Torre /Nart Villeneuve现为趋势科技资深威胁研究员。