近日,Websense的ThreatSeeker收集成功检测出一路大年夜范围的、针对此前借助震动全球的波士顿马拉松爆炸事务所进行的收集报复打击,并对其进行了有效反对。此次报复打击操纵人们对该事务的存眷,进行电子邮件传播,诡计将不知情的收件人引至歹意网站,经由过程进侵他们的电脑进行犯法勾当,获得巨额好处。
在反对过程中,Websense安然专家应用高级威胁的7阶段编制对此次报复打击勾当进行了阐发,并具体讲述了犯法分子是若何棍骗用户并进侵他们的电脑的。同时,Websense安然专家指出,粉碎这7个阶段中的任何一个环节,都可以呵护暗藏的受害者。
第1阶段:窥伺
同其它良多基于热点话题或新闻事务的报复打击勾当一样,此次报复打击的目标是要进行大年夜范围的传播,而非针对特定小我或组织。鉴于此,犯法分子只需选定一个全球性的新闻事务(例如此次的波士顿马拉松爆炸案),然后将他们设计的钓饵发送给尽可能多的人。
第2阶段:钓饵
犯法分子充分操纵了人们的好奇心,出格是重大年夜事务产生以后,他们精心设计的钓饵就是要尽可能多地吸引受害者。Websense安然尝试室在监测此次电子邮件报复打击的过程中发现,犯法分子发送的电子邮件采取了诸如“最新动静——波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案视频”等主题,向收件人明白暗示该邮件中包含与爆炸事务相干的信息或新闻。并且大都环境下,邮件正文中只有一个形如http://
第3阶段:重定向
在点击了链接以后,不知情的受害者就被犯法分子引至一个包含此次爆炸案YouTube视频的页面(以下图所示,报复打击者会成心地将具体内容恍惚化),与此同时,他们被iframe重定向到一个缝隙页面。
第4阶段:操纵缝隙东西包
经由过程对此次报复打击勾当中呈现的一系列歹意URL进行的阐发,Websense安然专家发现,犯法分子利用RedKit缝隙操纵东西包,并且操纵Oracle Java 7安然治理器的旁路缝隙,向我们的阐发电脑上发送文件。
第五阶段:木马文件
在此次报复打击勾当中,犯法分子并没有采取包含歹意代码并且可以躲过杀毒软件检测的木马文件,而是选用了一个Win32/Waledac家族的下载器,用来下载更多的歹意二进制文件。在此次报复打击中,两个名为Win32/Kelihos和Troj/Zbot的僵尸病毒被下载并安装到被传染电脑上,以便犯法分子将被传染电脑加进到其僵尸收集中。
第六阶段:主动传递 / 第七阶段:数据盗取
一旦被传染的电脑被收集罪犯节制,病毒则进行主动传递,被传染电脑就会发出长途号令,完成数据的发送与领受。对被传染电脑的常见威胁包含数据汇集和泄漏,如财务和小我信息盗取。其它风险包含发送未经许可的电子邮件或***介入漫衍式拒尽办事报复打击(DDoS报复打击)。
Websense安然专家指出,Websense高级分类引擎(ACE™)可以帮忙用户匹敌这类类型的收集威胁。Websense ACE可以在犯法分子发出的钓饵达到终端用户之前将其反对,即便用户点击了歹意链接,对歹意地址的拜候也将被拒尽。不但如斯,经由过程与数据泄漏节制整合,Websense ACE还可以帮忙用户防御数据盗取,确保数据安然无虞。
别的,Websense安然专家也提示用户,为避免蒙受报复打击,建议用户直接从驰名新闻机构获得新闻,千万不要点击邮件中的链接。
Websense安然专家出格提示,今朝,报复打击勾当仍在不竭成长,报复打击者再次操纵了近日产生于美国德州产生的化肥厂爆炸事务,对报复打击邮件进行了响应更新,报复打击范围再度扩大年夜,用户千万不克不及掉落以轻心。Websense安然尝试室也将继续监督此次报复打击勾当,周全呵护用户信息安然。
* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用处。