界首 | 民生 | 体育 | 亲子 | 国内 | 国际 | 专题 | 评论 | 房市 | 车市 | 财经 | 旅游 | 美食 | 教育 | 文史 | 娱乐 | 

首页 | 界首 | 国内 | 国际 | 社会 | 财经 | 娱乐 | 体育 | 看图不说话 | 微言大义 | 滚动
界首网 > 界首 > 正文

针对PDF漏洞的网络黑客攻击事件浮现

2020/3/26 0:58:47 来源:新京报 大字体 小字体 扫码带走
打印

利用先前安全研究员揭露的合法”/Launch”指令,搭配社交工程手法的攻击出现了,攻击者将之用来传递Zeus恶意程序

  重 点

  ● 运用PDF的”/Launch”功能的攻击手法出现

  ● 攻击者使用此手法散布恶意程序Zeus

  上周国外媒体报导了安全研究员Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻击手法,将可能成为未来PDF安全上的一大威胁。果不其然,现在利用此一手法的攻击已经出现了。

  安全厂商Websense的负责人Dan Hubbard,日前公开发表了他发现黑客开始利用”/Launch”指令,透过合法的方式搭配社交工程掩护,攻击使用者的事件。其手法正好和安全研究员Dider Stevens和Jeremy Conway所揭露的方式如出一辙。

  用PDF合法的指令,诱骗使用者打开恶意程序

  两位安全研究员所揭露的手法是这样的,3月底,Dider Stevens证实了,可以透过PDF合法的”/Launch”指令,让PDF文件在开启的时候,自动去执行任何应用程序。虽然多数的PDF阅读软件,都会跳出警告,但是警告的文字内容,也可以被攻击者更改,这使得攻击者可以透过社交工程的方式,诱骗使用者打开应用程序。

而随后4月初,Jeremy Conway利用这个方法,证明了攻击者可以透过被植入”/Launch”指令程序代码的PDF文件,让另一个健康的PDF文件被植入程序代码,并且在PDF阅读软件没有允许Java Script可以执行的状况下,让使用者只要点击被植入了程序代码的PDF文件,并且在被社交工程手法诱骗去点选开启程序的状况下,就自动连线到攻击者指定的网站。这和过去透过PDF夹带Java Script的手法完全不同,可以利用完全合法的手段让使用者连上恶意网站。因为是合法的手段,这代表着在这过程中,几乎没有任何杀毒软件会发出警告。

  散播的恶意程序为Zeus,是首次用此一手法的攻击

  现在,根据Dan Hubbard所发表的内容,网络上已经有攻击者开始利用这个手法,散布知名的僵尸网络恶意程序Zeus的变种。据了解,攻击者会寄送一封夹带有Royal_Mail_Delivery_Notice.PDF文件的电子邮件,然后只要使用者执行此一PDF文件,并且允许后续动作的话,就会像在使用者的电脑中植入恶意程序Zeus。这是目前首个被发现利用此一手法攻击的恶意程序。不过此一手法最终还是利用Java Script来连外道恶意网站植入恶意程序,也没有透过社交工程的手法去修改警告方块的文字,诱骗使用者允许后续动作,所以还没有像前述手法那样高明,只要使用者关闭了Java Script执行的功能就可以避免危险。

  Zeus是一个恶名昭彰的恶意程序,拥有许多变种,被感染的电脑就会被攻击者利用,成为僵尸电脑。由于不易被发现,Zeus已经是目前在美国肆虐最严重的恶意程序之一,根据非正式的估计,光在美国目前就约有360万台电脑已经感染了此一恶意程序的各种变种。先前由华尔街日报揭露的僵尸网络”Kneber”,也是使用Zeus做为攻击的程序。

  Adobe的软件是目前最多人使用的PDF阅读软件,不过针对这个利用PDF阅读软件合法功能的漏洞,Adobe目前还没有将其完全根绝,先前推出大规模更新,也没有针对此一手法做出修正,取而代之的是要求使用者关闭PDF阅读软件中,开启第三方应用程序的功能,藉此阻挡”/Launch”功能。

  企业的IT管理者,如果想要避免这个问题,目前除了上述关闭PDF阅读软件的部分功能外,还必须搭配闸道端的扫描。


相关阅读:
丝绸之路旅游 https://www.imsilkroad.com/news/category/silulvyou

关于我们 |  联系方式 |  广告服务 |  业务范围 |  本网招聘 |  站点地图 |  版权声明 |  员工查询
新闻许可:国新网3712006003号   电信许可:鲁B2-20090035   ICP:鲁ICP备09023214号  

Copyright 1997-2014 All Rights Reserved.