近日,Websense安全实验室的专家在ThreatSeeker Network监测的结果中发现了一个不同寻常的域名“inte1sat.com”。该域名刻意用阿拉伯数字“1”代替小写的英文字母“l”,以混淆人们的视线,使用户落入陷阱。
通过初步分析“inte1sat.com”域名下的内容,专家们发现了可疑文件exploit.jar。(见图1)
(图1,inte1sat下的可疑Java文件包)
安全专家们对攻击者采取的这种伪装手段很感兴趣。通过谷歌搜索,他们发现正确拼写的域名“intelsat.com”其实是一家卫星通信公司的官方网站,这是一家以卫星通信运营为核心业务的公司,为客户提供如IP Trunking、电子通讯等服务。(见图2)
(图2,正确拼写的域名指向一家卫星服务公司)
而通过谷歌搜索“inte1sat.com”,显示的结果为一个存储在美国联邦通信委员会(FCC)的Web站点上的PDF文档(见图3)。 FCC是一家协调美国各州之间的无线电、电视、有线、卫星及同轴电缆等网络的大型机构,影响力甚至覆盖到南美洲的哥伦比亚特区。
(图3,在谷歌上搜索inte1sat.com的显示结果)
但是,当安全专家对这份可公开访问的可疑PDF文档进行内容搜索后,竟然没有发现任何“inte1sat”的字样。我们可以大胆猜测,该文档在通过谷歌的OCR算法扫描或传真后上传到网络时,OCR算法对英文字母“l”的识别产生了错误。尽管这个解释不是不可能,但我们还是决定从一切的源头展开调查,找出具体原因。Websense安全实验室在图形化环境下对先前“inte1sat.com”域名下的可疑Java包进行了进一步的分析,这时,专家们发现了其中被植入的CVE-2012-4681漏洞攻击包。该攻击包会不断生成并抛出异常,以此劫持Java Security Manager类,并发动后续攻击。(见图4)
(图4,可疑的exploit.jar中暗含漏洞攻击包)
当这个漏洞攻击包成功执行后,就会自动下载并运行一个名为“IrFKDDEW.exe”的二进制恶意软件,并嵌入jar包中,进而在用户的系统中开启后门。通过流量追踪,可以发现该恶意软件不断尝试向某IP地址发起连接请求。而其实早在2012年7月9日,这个IP地址所指向的站点就已经被Websense的Virustotal鉴定为恶意站点(见图5),具体报告点击这里。
(图5,Websense早已鉴定出这个恶意站点)
Websense的安全专家继续对“inte1sat.com”进行更深入的解析,发现域名背后其实是一系列的IP地址池,这些IP地址上还挂载着其他疑似可能通过蓄意拼写错误尝试攻击的备用域名,只是目前尚未被激活启用。
尽管专家们目前还不能证实这是否是谷歌的问题,让“拼写错误”的文件信息与FCC这样的大机构一同出现在搜索结果首页中。但可以肯定的是,黑客们将继续寻找这样的可趁之机,通过蓄意拼写错误的攻击手段来扩散漏洞攻击包,损害用户利益。
虽然在ACE(高级分类引擎)的保护下,Websense的用户可以安然无恙,但Websense仍提醒人们保持警惕,以免落入黑客的陷阱。
Websense 简介
Websense Inc. (NASDAQ: WBSN) 全球领先的统一Web、数据和电子邮件内容安全解决方案提供商,为全世界数万企业、中小市场和组织提供最低TCO(总体拥有成本)的最佳现代安全防护。利用全球渠道合作伙伴,通过软件、硬件设备、安全即服务(SaaS)等交付模式,Websense先进的内容安全解决方案帮助全球组织尽享最新的通信协作和Web2.0商业工具,同时保护他们远离各种先进的持续威胁、防护其关键信息的泄露并执行各种互联网安全使用策略。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/1083936030.html