Websense公司安全研究主管Alex Watson去年在研究了來自Windows錯誤報告(WER)的1600萬崩潰報告后，發現了利用零日漏洞發起的高級持續性威脅(APT)。

[[110756]]

你最近發現了針對移動網絡運營商和政府機構的針對性攻擊，你是如何發現的?

我們當時正在試圖研究如何檢測威脅的問題，例如侵入企業網絡的有針對性攻擊?，F在部署的網絡安全系統主要是基于來自供應商的額外信息以及基于簽名的防御。這意味著，現在的安全系統能夠很好地發現已知威脅，但在過去一年我們所看到的的例子中，網絡犯罪組織很愿意花費必要的資源和事件來避免PF、防火墻或防病毒系統的檢測。

你如何利用Windows錯誤報告(WER)來發現以前未知的威脅?

微軟利用這些報告來優先排序漏洞修復，以及確定應用程序是否故障，而我們利用這些崩潰報告來發現持續攻擊、漏洞利用活動、代碼或注入攻擊。當你插入USB設備設備到你的電腦，報告會發送到微軟，其中詳細介紹你的電腦，但大多數企業都沒有意識到這些報告被發出去。

你測試了哪些漏洞利用?

我們進行了一些案例研究，以探討我們如何利用異?；顒觼戆l現已知攻擊。我們查看了過去一年中最流行的攻擊之一，即CVE-2013-3893(非常強大的IE漏洞利用，被用于臺灣和日本的針對性攻擊中)，我們看到這個漏洞被用于針對高價值組織，但他們使用的基礎設施、shell代碼和模糊技術并沒有達到實際漏洞利用的水平，這讓我們懷疑這是唯一利用這個漏洞的群體。

你如何描述這種攻擊?

這是一種有針對性的攻擊，攻擊者首先發送電子郵件到企業內選定的人群。我們假設是15個人，這些應用程序中至少有一個會出現故障，從而出現我們能夠檢測的程序崩潰，而其他可能會成功。我們逆向了這些漏洞利用，發現了崩潰點，并為崩潰報告創建了指紋(在漏洞利用失敗的情況下)。

然而，我們搜索了4個月內的1600萬份報告，最后發現來自四個不同企業的五份報告符合我們的指紋。我們查看了這些企業，特別是其中兩個(移動網絡運營商和政府機構)是高價值目標。他們都有Houdini H-Worm(遠程訪問木馬)。

你發現了其他攻擊嗎?

我們還收集了來自銷售點(POS)應用程序的應用崩潰報告，例如POSRAM惡意軟件針對的應用程序。對這些崩潰日志信息的分析顯示，攻擊者可能向其pos.exe應用程序注入了代碼，這類似于其他POS惡意軟件使用的載體。如果你從應用程序開發人員來看這個問題，這是非常糟糕的崩潰，因為這是別人的代碼，而不是你自己的代碼。

從安全角度來看，這讓我們相信可能出現代碼注入攻擊。因此，如果有惡意產品瞄準你的POS應用程序，而這個惡意程序崩潰了，那么，它可能很快會讓你的網絡崩潰。

安全企業應如何應對這些攻擊?

隨著攻擊者提高其入侵技術，安全行業需要擺脫基于簽名的防御，添加更多圍繞異?；顒雍途W絡行為的情報監控系統。