Video: Anatomy of an Attack - Zero Day Exploit (Nobyembre 2024)
Sinasamantala ng mga pag-atake ang mga malubhang kahinaan sa Internet Explorer sa isang pag-atake sa butas ng pagtutubig, binalaan ng mga mananaliksik mula sa security firm na FireEye. Ang mga gumagamit na na-trick sa pag-access sa nahawaang website ay na-hit sa malware na nakakaapekto sa memorya ng computer sa isang klasikong pag-atake ng drive.
Ang mga pag-atake ay na-embed ang malisyosong code na sinasamantala ang hindi bababa sa dalawang zero-day flaws sa Internet Explorer sa isang "isang madiskarteng mahalagang website, na kilala upang iguhit ang mga bisita na malamang na interesado sa pambansa at internasyonal na patakaran sa seguridad, " sinabi ni FireEye sa pagsusuri nito noong nakaraang linggo. Hindi kinilala ng FireEye ang site na lampas sa katotohanan na ito ay batay sa Estados Unidos.
"Ang pinagsamantalahan ay nagpapagana ng isang bagong kahusayan sa pagtulo ng impormasyon at isang kahinaan sa pag-access sa memorya ng IE upang makamit ang pagpapatupad ng code, " isinulat ng mga mananaliksik ng FireEye. "Ito ay isang kahinaan na sinasamantala sa iba't ibang iba't ibang paraan."
Ang mga kahinaan ay naroroon sa Internet Explorer 7, 8, 9, at 10, na tumatakbo sa Windows XP o Windows 7. Habang ang kasalukuyang pag-atake ay nagta-target sa Ingles na bersyon ng Internet Explorer 7 at 8 na tumatakbo sa parehong Windows XP at Windows 8, ang pagsasamantala ay maaaring mabago upang i-target ang iba pang mga bersyon at wika, sinabi ni FireEye.
Hindi karaniwang sopistikadong APT
Sinabi ni FireEye na ang advanced na patuloy na pagbabanta (APT) na kampanya ay gumagamit ng ilan sa parehong mga command at control server bilang mga ginamit sa nakaraang pag-atake ng APT laban sa mga target ng Hapon at Tsino, na kilala bilang Operation DeputyDog. Ang APT na ito ay hindi pangkaraniwang sopistikado dahil namamahagi ito ng nakakahamak na payload na tumatakbo lamang sa memorya ng computer, natagpuan ang FireEye. Dahil hindi nito isinulat ang sarili nito sa disk, mas mahirap makita o makahanap ng forensic ebidensya sa mga nahawaang makina.
"Sa pamamagitan ng paggamit ng estratehikong kompromiso sa Web kasama ang mga taktika sa paghahatid ng paunang memorya at maraming mga nested na pamamaraan ng obfuscation, ang kampanya na ito ay napatunayan na katangi-tanging natapos at mailap, " sabi ni FireEye.
Gayunpaman, dahil ang diskless malware ay ganap na residente sa memorya, simpleng pag-reboot ng makina ay lilitaw upang alisin ang impeksyon. Ang mga pag-atake ay hindi mukhang nag-aalala tungkol sa pagiging tuluy-tuloy, na nagmumungkahi na ang mga umaatake ay "tiwala na ang kanilang inilaan na mga target ay muling bisitahin ang nakompromiso na website at muling mahawahan, " isinulat ng mga mananaliksik ng FireEye.
Nangangahulugan din ito na ang mga umaatake ay mabilis na gumagalaw, dahil kailangan nilang lumipat sa network upang maabot ang iba pang mga target o hanapin ang impormasyon na nauna nila bago nag-reboot ng gumagamit ang makina at tinanggal ang impeksyon. "Sa sandaling ang magsasalakay ay makakakuha at mapapalaki ang mga pribilehiyo maaari silang mag-deploy ng maraming iba pang mga pamamaraan upang maitaguyod ang pagtitiyaga, " sabi ni Ken Westin, isang security researcher sa Tripwire.
Ang mga mananaliksik sa kumpanya ng seguridad na Triumfant ay inangkin ang isang pagtaas sa diskless na malware at sumangguni sa mga pag-atake na ito bilang Advanced Volatile Threats (AVT).
Hindi Kaugnay sa Office Flaw
Ang pinakabagong Internet Explorer na zero na araw na kahinaan ay dumating sa takong ng isang kritikal na kapintasan sa Microsoft Office na iniulat din noong nakaraang linggo. Ang kapintasan kung paano ang pag-access ng Microsoft Windows at Office ng mga imahe ng TIFF ay walang kaugnayan sa bug ng Internet Explorer na ito. Habang sinasamantala na ng mga umaatake ang Office bug, karamihan sa mga target ay kasalukuyang nasa Gitnang Silangan at Asya. Hinihikayat ang mga gumagamit na i-install ang FixIt, na nililimitahan ang kakayahan ng computer upang buksan ang mga graphics, habang naghihintay para sa isang permanenteng patch.
Nasabihan ng FireEye ang Microsoft ng kahinaan, ngunit ang Microsoft ay hindi pa nagkomento sa publiko sa kapintasan. Napakalaking hindi malamang na ang bug na ito ay matutugunan sa oras para sa paglabas bukas ng Patch Martes.
Ang pinakabagong bersyon ng Microsoft EMET, ang Enhanced Mitigation Experience Toolkit, matagumpay na hinaharangan ang mga pag-atake na nagta-target sa mga kahinaan sa IE, pati na rin ang Opisina. Dapat isaalang-alang ng mga organisasyon ang pag-install ng EMET. Maaari ring isaalang-alang ng mga gumagamit ang pag-upgrade sa bersyon 11 ng Internet Explorer, o gumamit ng mga browser bukod sa Internet Explorer hanggang sa maayos ang bug.
Mga Isyu ng XP
Ang pinakahuling kampanya ng pagtutubig na ito ay nagtatampok din kung paano tinatarget ng mga umaatake ang mga gumagamit ng Windows XP. Paulit-ulit na ipinapaalala ng Microsoft sa mga gumagamit na hihinto ito sa pagbibigay ng mga update sa seguridad para sa Windows XP pagkatapos ng Abril 2014, at ang mga gumagamit ay dapat mag-upgrade sa mga mas bagong bersyon ng operating system. Naniniwala ang mga mananaliksik sa seguridad na maraming mga umaatake ang nakaupo sa mga cache ng mga kahinaan sa XP at naniniwala na magkakaroon ng alon ng mga pag-atake na nagta-target sa Windows XP matapos na matapos ng Microsoft ang suporta para sa pagtanda ng operating system.
"Huwag mag-antala - mag-upgrade mula sa Windows XP sa ibang bagay hangga't maaari kung pinahahalagahan mo ang iyong seguridad, " si Graham Cluley, isang independiyenteng mananaliksik ng seguridad, ay sumulat sa kanyang blog.
