編輯部
從瀏覽器、文件製作軟體、文件閱讀軟體等常用軟體的漏洞頻頻遭到利用,顯示網路犯罪者仍經常利用零時差漏洞攻擊。
3 月初資訊安全研究人員陸續發現兩個利用 Internet Explorer 7(IE7) 與 Adobe Acrobat 和 Adobe Reader 重大漏洞的威脅,前後只差幾天。
本文目錄
針對 IE7 發動攻擊
這個在 2008 年 12 月的零時差攻擊熱潮之後所出現的威脅,專門攻擊 IE7 瀏覽器,趨勢科技首次發現於一個惡意的.DOC 檔案中,並且將它命名為 XML_DLOADR.A 。該檔案偽裝成亞洲某地區性報紙所贊助執行的一份調查報告,其內容顯然訴求於此威脅鎖定攻擊的目標。這個檔案是透過垃圾郵件傳送,不過散佈數量仍然有限。使用者若不小心開啟了這個檔案,其中的 ActiveX 物件就會連線到惡意程式碼指定的一個 URL 。此 URL (HTML_DLOADER.AS) 會指向一個利用 CVE-2009-0075 漏洞的程序 (script) 檔案。
這項漏洞導因於 IE7 存取已遭到刪除或移除的物件時的處理方式。網路犯罪者在利用這項漏洞時,會設計一個網頁來欺騙瀏覽器,讓瀏覽器下載一個後門程式 (BKDR_AGENT.XZMS) 。
此後門程式會開啟一個隱藏的瀏覽器視窗,並連線到一個網站以等候指令。該程式甚至會擷取目前的電腦畫面,然後傳送給網路犯罪者。
針對 Adobe Reader 發動攻擊
目前受此 PDF 漏洞影響的有 Adobe Acrobat 9 、 Adobe Reader 9 以及所有先前的版本。經由網路犯罪者所特別打造的.PDF 檔案 (TROJ_PIDIEF.IN) 會造成這些程式當機,進而在電腦上偷偷安裝惡意程式。所安裝的惡意程式碼視情況而定。我們發現有時候是一個後門程式 (BKDR_NETCL.A),有時候是一個漏洞攻擊程式 (EXPL_EXECOD.A) 。
此後門程式會連線到一個伺服器,並在背後默默等候遠端攻擊者下達指令;而漏洞攻擊程式則會搜尋並攻擊其他軟體的漏洞,讓網路犯罪者從遠端發出電腦指令。視網路犯罪者所安裝的惡意程式而定,可能還會從事其他的行為與目的。
Adobe 尚未針對這項漏洞以及最近幾星期發表的漏洞發佈修補程式。雖然統計上很難測量這類零時差漏洞攻擊的成功率,不過從這兩個事件的比較可證明,漏洞攻擊依舊是網路犯罪者達到惡意程式感染目的非常有利可圖的一種方式。
(作/趨勢科技資深技術總監戴燊)
…未完(更多內容請參閱網路資訊雜誌 2009 年 4 月號 209 期)