在对韩国的小范围目标性攻击中,网络攻击者利用了微软IE浏览器零日漏洞。微软IE浏览器脚本引擎远程内存泄露漏洞(CVE-2016-0189)可能托管于网页之上,这表明可使用鱼叉式网络钓鱼电子邮件或水坑式攻击以危害用户。
微软在星期二发布了最新补丁,解决了零日漏洞问题。
借助CVE-2016-0189漏洞进行攻击 在微软发布新补丁前,网络攻击者利用了CVE-2016-0189漏洞。他们可能通过鱼叉式网络钓鱼电子邮件中的链接或受入侵之合法网站发布漏洞利用工具,将用户重新定向至漏洞利用工具。
利用工具的登录页面包含JavaScript代码。这种代码可概括访问该站点用户计算机的资料,查看计算机是否为虚拟机,并确定计算机上运行的IE、FLASH和Windows为哪个版本。
之后,该信息传回具有韩国顶级域名(TLD), 即URL中有.co.kr的网站。
JavaScript随后将漏洞利用工具交付至VBScript混淆文件。若漏洞利用工具成功利用此文件,则其将从域名中有.co.kr的网站下载恶意文件。
下载完恶意软件后,该漏洞利用代码对值为0x55164975的文件进行异或运算,从而将其解密。之后,该文件存于计算机之中,文件名为%Temp%\rund11.dll。
此次,我们没有获知最终净负荷。
韩国受到影响 众所周知,韩国用户广泛依赖于微软IE浏览器,因此零日攻击给韩国带来了较大影响。韩国在1999年出台了一部法律,要求在线供应商采用微软ActiveX以使用本国的交易“种子”密码,而微软IE浏览器是唯一支持ActiveX的浏览器。
以上攻击方式只是众多影响韩国零日攻击的其中一个。例如,网络攻击者在去年攻击韩国各机构时使用了一个精心设计的恶意软件Backdoor.Duuzer。他们将Duuzer变体扩散至韩国文字处理软件Hangul的零日漏洞之中。虽然韩国已计划取消这一规定,但仍过度依赖于微软IE浏览器。
网络攻击者攻击韩国各机构的动机通常涉及间谍或破坏活动。我们发现他们以韩国各实体为攻击目标,从而远程进入其计算机,盗取敏感数据,或删除硬盘资料。
赛门铁克持续对这种攻击进行调查,并将在可行时提供更新。
缓解措施 用户应尽快为受影响的IE浏览器漏洞安装相关补丁。
此外,赛门铁克建议用户遵守以下最佳经验,从而防止计算机遭受网络攻击者侵入:
保护 赛门铁克通过以下检测,保护用户免受零日漏洞的影响:
入侵防御系统