10月22, 2015

从Nday漏洞被利用谈补丁与安全软件的重要性

I. 由CVE-2014-6332引发的血案

去年年底,360安全中心监控发现,原本已经平静一段时间的网页挂马数量骤增,相关的恶意软件传播量也开始暴增,大量由漏洞引发的木马攻击案例不断出现。360网页防护也在快速更新,动态拦截了大批挂马攻击,并拦截了大量挂马网站的访问。

后经分析,发现大量出现的挂马攻击主要来自漏洞——CVE-2014-6332.由于这一漏洞影响范围广泛,并且在微软xp停服之后被公布,在xp下没有对应的官方补丁,造成漏洞被广泛利用。

网上公开的利用代码节选:

image001

已经被用于传播木马的页面代码节选:

image002

攻击者利用网上公开的测试代码,修改成木马传播代码。通过黑站,广告链等方式大规模传播,造成了木马大范围传播。

II.6332再临

而就在各大浏览器纷纷修补漏洞,做好安全防护之后,这个漏洞利用代码却又被悄悄的移植到了程序内置的广告页中。因为大量播放器内嵌了IE的浏览器内核进行广告展示而遭到该漏洞影响,继而引发了新的一波漏洞攻击事件。也造成了巨大影响,下面是之前播放器挂马的yesimck攻击拦截量:

详情已经在我们之前的《由播放器引爆的全国性大规模挂马分析》有过介绍
http://blogs.360.cn/360safe/2015/06/26/trojan-pass-player/

III. 0day与Nday

0day(零日)漏洞,是厂商未发布修复补丁的漏洞。而Nday则是厂商已经发布补丁的漏洞,因为时间、习惯、安全意识等原因还有很多人没有打补丁。

这也就潜藏着一种危险:作为安全研究者或爱好者,如果手里掌握了0day漏洞的利用代码,绝大多数人还是有自觉性不去公开这个利用代码的(无论是白帽子出于行业自律还是黑帽子们出于商业利益考虑)。那么这个漏洞对于大众的安全危害也是有限的。

但Nday则完全不同,漏洞被修补后,很多会被公开或者分析出来,网上能找到公开的漏洞利用代码或利用方法……一旦修补不及时,这时的漏洞利用代码虽然不再像0day时那样是见血封喉的秘密武器,却变成了大规模杀伤性武器。

而上面的CVE-2014-6332漏洞就是典型的Nday漏洞利用导致的大规模木马爆发问题。

IV.flash挂马死灰复燃

6332爆发后不久,我们将客户端软件加入了6332漏洞拦截的范围,攻击者开始尝试使用几个flash漏洞进行挂马,影响了国内数款播放器和系统恢复软件,因为这些漏洞都得到了有效的拦截,所以这波挂马攻击很快就被打压下去。

V. CVE-2015-5122再起波澜

就在CVE-2014-6332漏洞风波折腾了一年尚未平息,CVE-2015-5122漏洞的利用代码再次因Hacking Team被攻破而被公开。

很快网上有了漏洞利用教程(节选):

image004

而随着漏洞利用代码和方法的公开,我们也监控到了大量利用该漏洞传播恶意软件的网站。

360对此类挂马站点的拦截:

image005

360网盾对漏洞攻击的拦截:

flash

同时也捕捉到了大量利用该漏洞利用代码的样本——利用代码与网上公布的代码极其相似,甚至连混淆方式都一模一样:

20151022153022

在Adobe发布官方修补补丁之后,该漏洞仍然在不断被利用。10月中旬,该漏洞随着一个广告联盟推广了几个带漏洞利用的广告,开始再次大规模爆发。

CVE-2015-5122漏洞挂马页面:

ly1

近期一周对该漏洞的拦截量分布:

飞信截图20151022180013

通过对挂马站点与联盟的拦截,迫使联盟下线了带漏洞攻击的flash广告,木马传播量开始大幅下降。

VI. 谈谈补丁与安全软件的重要性

从去年的CVE-2014-6332到今年的CVE-2015-5122。不同原因,不同产品,但却有着类似结果的两次Nday漏洞利用攻击事件,通过网上公开的漏洞利用代码,攻击者可以低成本的拥有“重武器”,一下子将“软件漏洞”这个词拉到了一个与我们日常网络生活息息相关的位置。

一些“电脑城商家”会出于自身商业利益驱使(有些仅仅是怕麻烦),给广大小白用户灌输一些歪曲的理论——“打补丁没用,会拖慢系统”、“杀毒软件无用,会卡系统?”。甚至我们身边的一些“电脑高手”也会说一句“你看我不装杀软裸奔,几年都没中过毒”、“只要平时养成良好的上网习惯,不上乱七八糟的网站,就不会中毒。”——这一句句的“金玉良言”犹在耳畔,令人唏嘘……

补丁的作用,是从源头根本上消灭之前版本程序中存在的问题,将存在的软件漏洞去掉。良好的上网习惯固然很重要,但第三方广告、网络劫持、ARP攻击等风险的存在,导致即使网站/软件自身不作恶,也难保用户在浏览网页,使用软件时的安全。尤其是在网络劫持的情况下,即使用户不打开任何网站,只要开着电脑连着网就有可能中招。

即便你能够及时的更新软件安装补丁,还是有无处不在的恶意软件恶意代码在时刻虎视眈眈。一款靠谱的安全软件,做为计算机的保护者,能够帮你抵御绝大部分情况下的木马漏洞攻击,阻止恶意软件蔓延。面向大众的木马,目的是获利而不是秀存在。须知没中过毒和不知道自己中毒,从来不是一个概念!

本文链接:http://blogs.360.cn/post/talk_about_importance_of_patches_and_security_software_from_nday_exploits.html

-- EOF --

Comments