針對PDF漏洞的網絡黑客攻擊事件浮現
利用先前安全研究員揭露的合法”/Launch”指令,搭配社交工程手法的攻擊出現了,攻擊者將之用來傳遞Zeus惡意程序
重 點
◆ 運用PDF的”/Launch”功能的攻擊手法出現
◆ 攻擊者使用此手法散布惡意程序Zeus
上周國外媒體報導了安全研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法,將可能成為未來PDF安全上的一大威脅。果不其然,現在利用此一手法的攻擊已經出現了。
安全廠商Websense的負責人Dan Hubbard,日前公開發表了他發現黑客開始利用”/Launch”指令,透過合法的方式搭配社交工程掩護,攻擊使用者的事件。其手法正好和安全研究員Dider Stevens和Jeremy Conway所揭露的方式如出一轍。
用PDF合法的指令,誘騙使用者打開惡意程序
兩位安全研究員所揭露的手法是這樣的,3月底,Dider Stevens證實了,可以透過PDF合法的”/Launch”指令,讓PDF文件在開啟的時候,自動去執行任何應用程序。雖然多數的PDF閱讀軟件,都會跳出警告,但是警告的文字內容,也可以被攻擊者更改,這使得攻擊者可以透過社交工程的方式,誘騙使用者打開應用程序。
而隨后4月初,Jeremy Conway利用這個方法,證明了攻擊者可以透過被植入”/Launch”指令程序代碼的PDF文件,讓另一個健康的PDF文件被植入程序代碼,并且在PDF閱讀軟件沒有允許Java Script可以執行的狀況下,讓使用者只要點擊被植入了程序代碼的PDF文件,并且在被社交工程手法誘騙去點選開啟程序的狀況下,就自動連線到攻擊者指定的網站。這和過去透過PDF夾帶Java Script的手法完全不同,可以利用完全合法的手段讓使用者連上惡意網站。因為是合法的手段,這代表著在這過程中,幾乎沒有任何殺毒軟件會發出警告。
散播的惡意程序為Zeus,是首次用此一手法的攻擊
現在,根據Dan Hubbard所發表的內容,網絡上已經有攻擊者開始利用這個手法,散布知名的僵尸網絡惡意程序Zeus的變種。據了解,攻擊者會寄送一封夾帶有Royal_Mail_Delivery_Notice.PDF文件的電子郵件,然后只要使用者執行此一PDF文件,并且允許后續動作的話,就會像在使用者的電腦中植入惡意程序Zeus。這是目前首個被發現利用此一手法攻擊的惡意程序。不過此一手法最終還是利用Java Script來連外道惡意網站植入惡意程序,也沒有透過社交工程的手法去修改警告方塊的文字,誘騙使用者允許后續動作,所以還沒有像前述手法那樣高明,只要使用者關閉了Java Script執行的功能就可以避免危險。
Zeus是一個惡名昭彰的惡意程序,擁有許多變種,被感染的電腦就會被攻擊者利用,成為僵尸電腦。由于不易被發現,Zeus已經是目前在美國肆虐最嚴重的惡意程序之一,根據非正式的估計,光在美國目前就約有360萬臺電腦已經感染了此一惡意程序的各種變種。先前由華爾街日報揭露的僵尸網絡”Kneber”,也是使用Zeus做為攻擊的程序。
Adobe的軟件是目前最多人使用的PDF閱讀軟件,不過針對這個利用PDF閱讀軟件合法功能的漏洞,Adobe目前還沒有將其完全根絕,先前推出大規模更新,也沒有針對此一手法做出修正,取而代之的是要求使用者關閉PDF閱讀軟件中,開啟第三方應用程序的功能,藉此阻擋”/Launch”功能。
企業的IT管理者,如果想要避免這個問題,目前除了上述關閉PDF閱讀軟件的部分功能外,還必須搭配閘道端的掃描。
【編輯推薦】
