近日,Websense的ThreatSeeker网络成功检测出一起大范围的网络攻击,并对其进行了有效拦截。此次攻击活动借助震惊全球的波士顿马拉松爆炸事件,利用人们对该事件的关注,进行电子邮件传播,企图将不知情的收件人引至恶意网站,通过入侵他们的电脑进行犯罪活动,获取巨额利益。
Websense安全专家运用高级威胁的7阶段方法对此次攻击活动进行了分析,并详细讲述了犯罪分子是如何欺骗用户并入侵他们的电脑的。同时,Websense安全专家指出,破坏这7个阶段中的任何一个环节,都可以保护潜在的受害者。
第1阶段:侦察
同其它许多基于热门话题或新闻事件的攻击活动一样,这次攻击的目的是要进行大范围的传播,而非针对特定个人或组织。鉴于此,犯罪分子只需选定一个全球性的新闻事件(例如这次的波士顿马拉松爆炸案),然后将他们设计的诱饵发送给尽可能多的人。
第2阶段:诱饵
犯罪分子充分利用了人们的好奇心,特别是重大事件发生之后,他们精心设计的诱饵就是要尽可能多地吸引受害者。Websense安全实验室在监测此次电子邮件攻击的过程中发现,犯罪分子发送的电子邮件采用了诸如“最新消息——波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案视频”等主题,向收件人明确表示该邮件中包含与爆炸事件相关的信息或新闻。而且多数情况下,邮件正文中只有一个形如http://<IPAddress>/news.html或是http://<IPAddress>/boston.html的简单URL,并没有更多的细节或信息。在这种情况下,收件人就会无意识地点击恶意链接。
第3阶段:重定向
在点击了链接之后,不知情的受害者就被犯罪分子引至一个包含此次爆炸案YouTube视频的页面(如下图所示,攻击者会有意地将具体内容模糊化),与此同时,他们被iframe重定向到一个漏洞页面。
第4阶段:利用漏洞工具包
通过对此次攻击活动中出现的一系列恶意URL进行的分析,Websense安全专家发现,犯罪分子使用RedKit漏洞利用工具包,并且利用OracleJava7安全管理器的旁路漏洞,向我们的分析电脑上发送文件。
第五阶段:木马文件
在此次攻击活动中,犯罪分子并没有采用包含恶意代码并且可以躲过杀毒软件检测的木马文件,而是选用了一个Win32/Waledac家族的下载器,用来下载更多的恶意二进制文件。在此次攻击中,两个名为Win32/Kelihos和Troj/Zbot的僵尸病毒被下载并安装到被感染电脑上,以便犯罪分子将被感染电脑加入到其僵尸网络中。
第六阶段:自动通报/第七阶段:数据窃取
一旦被感染的电脑被网络罪犯控制,病毒则进行自动通报,被感染电脑就会发出远程命令,完成数据的发送与接收。对被感染电脑的常见威胁包括数据收集和泄露,如财务和个人信息窃取。其它危害包括发送未经许可的电子邮件或被迫参与分布式拒绝服务攻击(DDoS攻击)。