AntiVirus供应商卡巴斯基实验室的恶意软件分析团队称,绕过Adobe Reader 10和11中的Sandbox防爆保护绕过沙箱防爆保护,可能是一个重要的讯连讯讯组织操作的一部分。
[有关的:Adobe发布Flash Player的补丁]
这爆炸性被发现星期二由来自安全公司Fireeye的研究人员说,他说它正在积极攻击。Adobe确认开发程序适用于最新版本的Adobe Reader和Acrobat,包括10和11,具有沙箱保护机制。
“Adobe意识到报告,这些漏洞正在野外攻击目标攻击,该攻击旨在欺骗Windows用户点击在电子邮件中交付的恶意PDF文件中,”该公司在A中表示安全咨询星期三出版。
Adobe正在做补丁,但同时建议adobereader 11的用户通过选择“编辑>首选项>安全(增强)”菜单下的“来自潜在不安全位置的文件”选项来启用受保护视图模式。
根据卡巴斯基实验室的恶意软件研究和分析团队主任的Costin Raiu,Costin Raiu表示,它安装的恶意软件是超级高级别。“这不是你每天都看到的东西,”他周四说。
通过对袭击的复杂性来说,拉力得出结论,他们必须是“巨大重视”的一部分,即“与duqu”相同“。
Duqu是2011年10月发现的一个网络间谍恶意软件,与Stuxnet有关,Stuxnet是一种高度复杂的计算机蠕虫,被认为破坏了伊朗纳坦兹核电站的铀浓缩离心机。Duqu和Stuxnet都被认为是由一个民族国家创造的。
最新的漏洞以PDF文档的形式出现,它攻击adobereader中的两个单独的漏洞。一个用于获得任意代码执行权限,一个用于逃离adobereader10和11沙箱,Raiu说。
漏洞利用在Windows 7上工作,包括64位版本的操作系统,它绕过Windows ASLR(地址空间布局随机化)和DEP(数据执行预防)防剥削机制。
拉力说,在执行时,利润将打开包含旅行签证申请表的诱饵PDF文件。本文档的名称是“Visaform Turkey.pdf”。
Exploit还删除并执行连接到远程服务器的恶意软件下载组件,并下载两个其他组件。他说,这两个组件窃取了有关系统配置的密码和信息,并且可以在击键上进行击落。
恶意软件和命令和控制服务器之间的通信用ZLIB压缩,然后使用RSA公钥加密加密(高级加密标准)加密。
拉伊说,这种类型的保护非常少见。“类似于火焰春季恶意软件,但在服务器端使用的东西。”
他说,这要么是一个国家制造的网络间谍工具,要么是私人承包商以巨额资金出售给执法和情报机构的所谓合法拦截工具之一。
拉布说,卡巴斯基实验室还没有有关此攻击目标或其在全球的分布的信息。
在郑埠的Fireeye的安全研究高级总监Vie Email致电,拒绝对攻击的目标发表评论。Fireeye发表了A.博客在周三有关恶意软件的技术信息,但没有透露有关受害者的任何信息。
别说恶意软件使用某些技术来检测它是否正在虚拟机中执行,因此它可以通过自动恶意软件分析系统逃避检测。