Відео: Attacking .NET deserialization - Alvaro Muñoz (Вересень 2024)
Під час останнього нульового дня експлуатації для Java, ми б'ємо барабан "оновити Java зараз" та граємо на "паралельно відключити Java" на параді SecurityWatch . Якщо цього було недостатньо, останні новини про те, що кампанія «Кібер-атака» Червоного жовтня використовувала подвиг Java - це лише ще одна причина, щоб стати на крок.
Вектор нападу на Java виявив Seculert і оголосив у вівторок у своєму блозі компанії. Хоча багато зловмисників використовують подвиги Java, він відрізняється від того, що було відомо про Червоний Жовтень. У первинному звіті про кампанію з Лабораторій Касперського Червоний жовтень характеризувався тим, що покладався на високо націлені атаки електронною поштою із зараженими файлами.
"У векторному випадку зловмисники надіслали електронний лист із вбудованим посиланням на спеціально створену веб-сторінку PHP", - пише Seculert. "Ця веб-сторінка використовувала вразливість у Java (CVE-2011-3544), а у фоновому режимі завантажувалась та виконувалася зловмисне програмне забезпечення автоматично."
Не новий подвиг
Важливо відзначити, що атака на Яву, що використовується Червоним жовтнем, - це не нульовий день, який ми охоплювали. Насправді Seculert пише, що ця частина нападу Червоного жовтня була написана приблизно в лютому 2012 року, тоді як експлуатація, яку вона використовує, була зафіксована в жовтні 2011 року. Ось чому ви повинні підтримувати програмне забезпечення виправленим та оновленим.
Після опублікування новин про аспект Java Червоного жовтня, Касперський опублікував подальшу інформацію з додатковою інформацією. "Схоже, цей вектор група активно не використовувала", - пише Касперський. "Коли ми завантажили php, відповідальний за обслуговування архіву макодів '.jar', рядок коду, що передає подвиг Java, був прокоментований."
Намагаючись охарактеризувати цей аспект нападу, Касперський не вірить, що це свідчить про інший підхід до Червоного жовтня. Натомість, вони вважають, що це відповідає методичним, добре дослідженим атакам, які є торговою маркою Червоного жовтня.
Що це означає
"Ми могли б припустити, що група протягом декількох днів успішно доставляла свій корисний набір зловмисного програмного забезпечення до відповідної цілі, а потім більше не потребувала зусиль", - написав Касперський вчора. "Що також може сказати нам, що цій групі, яка ретельно адаптувала та розробила набір інструментів для інфільтрації та збирання для оточення жертв, на початку лютого 2012 року довелося перейти на Яву із звичних методів підводного полювання".
Касперський продовжував писати, що кілька технічних аспектів цієї атаки відрізняються від інших атак Червоного жовтня, що змушує охоронну компанію вважати, що цей подвиг був розроблений для конкретної цілі.
З полегшенням чути, що аспект Java Червоного жовтня не застосовувався для націлення на більшу кількість жертв. Незважаючи на те, що ця кібератакова кампанія вражає своєю ефективністю, її творці зосередилися на гучних урядових та дипломатичних цілях, а не на повсякденних споживачах. Однак це також демонструє, що зловмисники добре знають багато програмних подвигів, які скористаються ледачими користувачами, які хизуються їх оновленнями.
Щоб отримати більше інформації від Макса, слідкуйте за ним на Twitter @wmaxeddy.
