主管/主办:国务院新闻办公室 国家互联网信息办公室
站内搜索
2015年1月21日

新闻 消费新闻 权威发布 图文发布

互动 找 装 修 曝 光 台全 民 评

生活 爱心公益 餐饮美食 头号地标

市场 金融理财 汽车要闻 健康乐活

时尚 教育培训 宜居地产 品牌推荐

观点 网金中国 商业观察 对话访谈

总编信箱 人员查验 关于我们

FruityArmor攻击中使用了Windows零日漏洞

发布时间:2016/11/11 9:57:31  | 来源:e科技 | 作者: | 责任编辑: 凝琛

微软发布一款最新的安全补丁后,卡巴斯基实验室的专家终于能够解释一个名为FruityArmor的网络攻击组织是如何使用一种Windows零日漏洞实施针对性攻击的。FruityArmor使用的零日漏洞为CVE-2016-3393,并利用这种漏洞绕过沙盒技术,帮助攻击者在受害者计算机中维持较高的权限,远程执行恶意代码。CVE-2016-3393漏洞是卡巴斯基实验室今年利用专门被设计用于检测和拦截漏洞的技术所检测到的第四个零日漏洞。

微软公司在10月11日发布了一个修复软件关键漏洞的补丁。之后,卡巴斯基实验室的专家发表了一篇关于FruityArmor攻击组织如何使用这种漏洞的报告。该攻击组织有些不同寻常,因为其攻击平台是用一种被称为PowerShell的Windows自动化和脚本语言所编写的。

一旦进入目标机器,攻击者通常会依靠浏览器漏洞执行恶意代码。但是,由于很多浏览器都内置沙盒,能够隔离和安全地启动新的应用,所以浏览器漏洞利用程序很少能够依靠自身提供攻击者所需要的访问权限。所以,FruityArmor采用了EoP(权限提升)漏洞利用程序辅助浏览器利用程序,让攻击者可以绕过沙盒。而CVE-2016-3393就是一种针对Windows的EoP(权限提升)漏洞利用程序。

漏洞利用程序被成功部署后,会以较高的权限执行第二阶段的恶意负载,运行高级和动态注释格式的PowerShell脚本,连接到攻击者的命令和控制服务器。之后,恶意软件就准备接收进一步的指示,下载额外的恶意模块。

“尽管有趋势显示,越来越多的攻击者开始使用现成的恶意软件,但未修补的零日漏洞仍然非常抢手,对针对性威胁攻击者来说非常宝贵。对这类漏洞的需求不可能短时间内降低,所以安全研究人员要继续寻找这些漏洞,找到能够检测这些漏洞的保护技术,同时软件开发商也要快速响应,开发出修补程序。我们共同分担着保护客户的责任,”卡巴斯基实验室安全专家Anton Ivanov说。

卡巴斯基实验室产品将CVE-2016-3393漏洞利用程序检测为:

HEUR:Exploit.Win32.Generic

PDM:Exploit.Win32.Generic

这种漏洞利用程序是由卡巴斯基实验室产品的自动漏洞入侵防护模块检测到的。卡巴斯基实验室所有针对Windows平台的旗舰安全解决方案都包含这一模块,而且该模块还会不断更新。这种模块包含最新的技术,能够检测高级威胁,被用于检测利用软件漏洞进行攻击的恶意软件,包括利用零日漏洞的恶意软件。该模块会监控多种应用,包括最常被攻击的应用,并且会对任何可疑行为进行额外的安全检查。

卡巴斯基实验室在2016年检测到的其他三个零日漏洞中有两个为Adobe Flash漏洞,分别为CVE-2016-1010和CVE-2016-4171,另一个则为Windows权限提升漏洞——CVE-2016-0165.

中国生活消费标签:零日漏洞

敬请关注阳光互金,互联网金融防范服务热线 400-006-2252 了解更多互联网金融行业信息,关注微信公众号:yangguanghujin

行业动态出于传递更多信息之目的登载此文,并不意味赞同其观点或证实其描述。文章内容仅供参考,新闻纠错或爆料请发信至:chinaxiaofei2013@126.com信箱。

上一篇:潭州教育双十一期间职业课在职人员提升至50%
下一篇:卡巴斯基实验室被独立研究机构评选为领导者


互联网金融风险防患热线
第八届北京空气净化展
第十七届创业项目投资暨连锁加盟展会