近日,Websense安全實驗室的專家在ThreatSeeker Network監(jiān)測的結(jié)果中發(fā)現(xiàn)了一個不同尋常的域名“inte1sat.com”。該域名刻意用阿拉伯數(shù)字“1”代替小寫的英文字母“l”,以混淆人們的視線,使用戶落入陷阱。
通過初步分析“inte1sat.com”域名下的內(nèi)容,專家們發(fā)現(xiàn)了可疑文件exploit.jar。(見圖1)
(圖1,inte1sat下的可疑Java文件包)
安全專家們對攻擊者采取的這種偽裝手段很感興趣。通過谷歌搜索,他們發(fā)現(xiàn)正確拼寫的域名“intelsat.com”其實是一家衛(wèi)星通信公司的官方網(wǎng)站,這是一家以衛(wèi)星通信運營為核心業(yè)務的公司,為客戶提供如IP Trunking、電子通訊等服務。(見圖2)
(圖2,正確拼寫的域名指向一家衛(wèi)星服務公司)
而通過谷歌搜索“inte1sat.com”,顯示的結(jié)果為一個存儲在美國聯(lián)邦通信委員會(FCC)的Web站點上的PDF文檔(見圖3)。 FCC是一家協(xié)調(diào)美國各州之間的無線電、電視、有線、衛(wèi)星及同軸電纜等網(wǎng)絡的大型機構(gòu),影響力甚至覆蓋到南美洲的哥倫比亞特區(qū)。
(圖3,在谷歌上搜索inte1sat.com的顯示結(jié)果)
但是,當安全專家對這份可公開訪問的可疑PDF文檔進行內(nèi)容搜索后,竟然沒有發(fā)現(xiàn)任何“inte1sat”的字樣。我們可以大膽猜測,該文檔在通過谷歌的OCR算法掃描或傳真后上傳到網(wǎng)絡時,OCR算法對英文字母“l”的識別產(chǎn)生了錯誤。盡管這個解釋不是不可能,但我們還是決定從一切的源頭展開調(diào)查,找出具體原因。Websense安全實驗室在圖形化環(huán)境下對先前“inte1sat.com”域名下的可疑Java包進行了進一步的分析,這時,專家們發(fā)現(xiàn)了其中被植入的CVE-2012-4681漏洞攻擊包。該攻擊包會不斷生成并拋出異常,以此劫持Java Security Manager類,并發(fā)動后續(xù)攻擊。(見圖4)
(圖4,可疑的exploit.jar中暗含漏洞攻擊包)
當這個漏洞攻擊包成功執(zhí)行后,就會自動下載并運行一個名為“IrFKDDEW.exe”的二進制惡意軟件,并嵌入jar包中,進而在用戶的系統(tǒng)中開啟后門。通過流量追蹤,可以發(fā)現(xiàn)該惡意軟件不斷嘗試向某IP地址發(fā)起連接請求。而其實早在2012年7月9日,這個IP地址所指向的站點就已經(jīng)被Websense的Virustotal鑒定為惡意站點(見圖5),具體報告點擊這里。
(圖5,Websense早已鑒定出這個惡意站點)
Websense的安全專家繼續(xù)對“inte1sat.com”進行更深入的解析,發(fā)現(xiàn)域名背后其實是一系列的IP地址池,這些IP地址上還掛載著其他疑似可能通過蓄意拼寫錯誤嘗試攻擊的備用域名,只是目前尚未被激活啟用。
盡管專家們目前還不能證實這是否是谷歌的問題,讓“拼寫錯誤”的文件信息與FCC這樣的大機構(gòu)一同出現(xiàn)在搜索結(jié)果首頁中。但可以肯定的是,黑客們將繼續(xù)尋找這樣的可趁之機,通過蓄意拼寫錯誤的攻擊手段來擴散漏洞攻擊包,損害用戶利益。
雖然在ACE(高級分類引擎)的保護下,Websense的用戶可以安然無恙,但Websense仍提醒人們保持警惕,以免落入黑客的陷阱。
Websense 簡介
Websense Inc. (NASDAQ: WBSN) 全球領(lǐng)先的統(tǒng)一Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商,為全世界數(shù)萬企業(yè)、中小市場和組織提供最低TCO(總體擁有成本)的最佳現(xiàn)代安全防護。利用全球渠道合作伙伴,通過軟件、硬件設備、安全即服務(SaaS)等交付模式,Websense先進的內(nèi)容安全解決方案幫助全球組織盡享最新的通信協(xié)作和Web2.0商業(yè)工具,同時保護他們遠離各種先進的持續(xù)威脅、防護其關(guān)鍵信息的泄露并執(zhí)行各種互聯(lián)網(wǎng)安全使用策略。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083936030.html