查看: 3288|回复: 10
收起左侧

[转帖] 360截获医药行业木马“间谍” 幕后黑客疑似电影迷

[复制链接]
zhq445078388
发表于 2013-7-25 18:04:06 | 显示全部楼层 |阅读模式
原文地址:http://bbs.360safe.com/thread-2140426-1-1.html

@0dayKiller

7月25日消息,据360互联网安全中心披露,跨国生物制药企业凯莱英医药集团官网近期遭黑客入侵,其官网中英文站点均嵌入恶意代码,向凯莱英员工或来访客户电脑植入木马后门。技术分析表明,该木马传播时综合采用了六种软件漏洞进行变形免杀,能避开绝大多数杀毒软件的拦截,很可能是瞄准医药行业窃取商业机密的APT攻击(针对特定目标的高级持续性威胁)。



据悉,凯莱英医药集团是生物医药行业知名的跨国企业之一,为各大国际制药企业提供药物研发生产专业化服务,以帮助制药公司缩短新药开发周期。近年来,高科技领域企业频繁遭遇黑客APT攻击,例如IE“极光”攻击入侵Google,RSA SecurID种子文件被黑客窃取等事件,此次凯莱英官网被挂马证明医药行业也面临着严重的黑客威胁。

360分析发现,凯莱英官网被黑客利用IE(三个漏洞)、Office、Adobe PDF Reader和Java运行环境(JRE)的六个漏洞组合挂马,对访问者电脑植入木马后门。虽然这些漏洞大多已在2013年得到官方修复,但由于黑客对漏洞攻击样本进行了变形免杀,根据多引擎在线扫描网站VirusTotal检测,40余款各国反病毒引擎中,无一能够全部检测出此次凯莱英官网的漏洞攻击样本和木马后门。

值得注意的是,黑客为木马服务器使用了Monica.brb.dj、juliavoth.cn.mu、sammihanratty.uni.cx三组域名,都是以国外知名女影星命名,分别代表莫妮卡•贝鲁奇、朱莉娅•沃斯和赛米•汉拉缇,由此推测该木马幕后黑客是个电影迷,木马服务器则使用了位于香港的主机。

该木马在侵入受害电脑系统后,会将自身设置为名称为NTLDR的开机启动项,采集系统信息发送给木马控制端服务器,并接受黑客遥控指令,可接受指令包括更新后门程序、启动第二步攻击样本、注入一段由木马服务器指定编码的代码到系统进程中等运行等。截至7月25日中午,360监测到该木马服务器并没有发布新的攻击指令。

360安全专家表示,近期访问过凯莱英官网的电脑用户,可通过检查名为NTLDR的开机启动项,验证电脑是否已经被黑客植入木马;也可下载使用360安全卫士或360杀毒,能够预防拦截并查杀该木马。

挂马页面使用iframe嵌入一个页面到恶意站点,该页面引用两个脚本文件deployJava.js(用于利用Java绕过ASLR)和gifjs.gif(文件头伪装为GIF文件,实际为JS脚本文件)来完成攻击。

gifjs.gif的脚本代码中,会获取用户系统的浏览器版本、JRE/JDK版本、Office版本和PDF Reader版本,并根据这些版本的不同,跳转到不同漏洞的最终攻击页面,漏洞利用成功后,会在用户的系统上运行并安装一个后门程序。

虽然挂马利用的漏洞都是已经被修补了,但是一来被利用的漏洞大多很新(大部分在今年2月到6月才有修补的版本),二来漏洞都经过了变形处理,因此通过杀毒软件测试合集网站VirusTotal(北京时间7月25日最新的病毒库)进行测试,发现都仅有一到两家的杀毒软件可以部分检出,其中较新的PDF漏洞和JRE漏洞,以及最终的后门程序样本,则没有杀毒软件可以检出。

360网盾和木马防火墙内建的漏洞和恶意攻击防御机制,无需升级便可以针对这些漏洞的攻击和恶意样本进行拦截和防御。

以下是黑客利用的六个漏洞:

一、CVE-2013-1347(IE “劳动节水坑”漏洞)

VirusTotal显示,45款杀毒软件中仅有一款名为NANO-Antivirus的杀毒软件可以检出此漏洞样本:

360安全卫士的网盾功能可以防御此漏洞攻击:

二、CVE-2012-1889(“暴雷”漏洞)

VirusTotal显示仅两款杀毒软件(NANO-Antivirus和Mcafee网关定制版)可检出此漏洞样本(只通过启发检测,无法定位漏洞):


360安全卫士的网盾功能可以防御此漏洞攻击:


三、CVE-2010-0806(IE浏览器远程代码执行漏洞,影响IE6+XP SP2及以下版本)

VirusTotal显示仅一款杀毒软件(Kaspersky)可检出此漏洞样本:

360安全卫士的网盾功能可以防御此漏洞样本的攻击:


更多详情请移步:http://bbs.360safe.com/thread-2140426-1-1.html

评分

参与人数 1人气 +1 收起 理由
wenjuner + 1 版区有你更精彩: )

查看全部评分

wowocock
发表于 2013-7-25 18:20:58 | 显示全部楼层
不管什么方法进来的,只要真正干活的东西不是白的即可。

评分

参与人数 1人气 +1 收起 理由
wenjuner + 1 感谢解答: )

查看全部评分

wenjuner
发表于 2013-7-25 18:23:57 | 显示全部楼层
wowocock 发表于 2013-7-25 18:20
不管什么方法进来的,只要真正干活的东西不是白的即可。

数字威武~~技术是最好的宣传~~
zhq445078388
 楼主| 发表于 2013-7-25 18:24:53 | 显示全部楼层
wowocock 发表于 2013-7-25 18:20
不管什么方法进来的,只要真正干活的东西不是白的即可。

哈哈 这句话说的V5!!

现在纠结的是.如果真的出现某漏洞 可以直接执行内核代码 如某字体漏洞.就蛋疼了
wowocock
发表于 2013-7-25 18:31:13 | 显示全部楼层
zhq445078388 发表于 2013-7-25 18:24
哈哈 这句话说的V5!!

现在纠结的是.如果真的出现某漏洞 可以直接执行内核代码 如某字体漏洞.就蛋疼了

漏洞利用是为了植入,关键干活的还得有启动点,不可能每次靠漏洞启动,所以一样可以秒杀。
wowocock
发表于 2013-7-25 18:32:35 | 显示全部楼层
就如同用户把所有杀软关了,防护全关闭,木马随意进来,一样可以被干掉。虽然难度大点,关键看木马自身的技术水平了。
Flameocean
发表于 2013-7-25 18:48:14 | 显示全部楼层
本帖最后由 Flameocean 于 2013-7-25 18:50 编辑
wowocock 发表于 2013-7-25 18:32
就如同用户把所有杀软关了,防护全关闭,木马随意进来,一样可以被干掉。虽然难度大点,关键看木马自身的技 ...


大肉鸡哥,有空的话帮我个忙。这个蓝屏到底是两款软件的还是我内存不兼容引起的,这几天电脑一直黑屏,蓝屏了一次,感谢了:http://share.weiyun.com/d87db2275e1ca84d9d4201e6814484e2
kerlee
发表于 2013-7-25 20:36:27 | 显示全部楼层
NANO-Antivirus,毛子那个万能BETA的?
zhq445078388
 楼主| 发表于 2013-7-26 07:22:39 | 显示全部楼层
wowocock 发表于 2013-7-25 18:31
漏洞利用是为了植入,关键干活的还得有启动点,不可能每次靠漏洞启动,所以一样可以秒杀。

对欧。。反正不大可能弄个NB的EXP。就用一次。。
wowocock
发表于 2013-7-26 10:40:04 | 显示全部楼层
Flameocean 发表于 2013-7-25 18:48
大肉鸡哥,有空的话帮我个忙。这个蓝屏到底是两款软件的还是我内存不兼容引起的,这几天电脑一直黑屏, ...

看你的帖子,应该是内存问题,拔掉一根内存看看。

评分

参与人数 1人气 +1 收起 理由
Flameocean + 1 感谢大肉鸡哥

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-7 22:16 , Processed in 0.119976 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表