G01Pack在侵入计算机运行的Oracle java 6的侵入版本的计算机后安装多级攻击
老狗可能不会被教导新的技巧,但对于Java爆炸套件来说也是如此。
中的一个世界上第四大漏洞套件,G01Pack根据Trusteer的研究人员,根据研究人员,已经增加了逃避检测的曲目的新皱纹。它现在包含一个新的exproit,可以修改它如何将恶意软件提供给受感染的系统。
该套件旨在攻击2012年Oracle在Java 6中修补了漏洞的漏洞。尽管如此,最新版本的Java是7.x - Trusteer估计包仍然是感染一员3000台电脑每月连接到互联网。
甲骨文拒绝评论这个故事。
通过典型的漏洞套件,通过漏洞将一小块的shell代码注入机器。一旦进入内存,它会为其有效载荷发送。
有效载荷包含一个恶意软件程序的SmorgasBord,用于在计算机上工作恶作剧。例如,G01pack在其有效载荷中具有Zeus,Torpig,Gozi和Shylock等Zeus。
通过这种G01Pack的最新变体,Shell代码将一个程序写入受感染系统的硬盘驱动器,该系统将另一个程序写入备份有效载荷的作业。“在利用进程和有效载荷的最后执行之间创建了一种缓冲区,”Trusteer CTO Amit Klein告诉CSO在面试中。
尽可能简单,随着技术的情况,行为的变化似乎是愚弄一些防御系统。“这似乎令人困惑许多安全机制,因为现在的恶意活动现在发生在两个地点,”克林说。
[Java在新闻中挖掘:研究人员说,最近修补的Java缺陷已经针对大规模攻击|Websense说,最支持最易受广泛的Java Exploits的浏览器最容易受到攻击的大多数启用Java的浏览器]
“初始开发在浏览器或插件过程中进行,下载和执行在另一个过程中进行,”他添加。
如果安全程序从内存中的程序寻找对互联网的可疑呼叫,那么当这些呼叫是从系统其他地方的其他位置进行的那些呼叫时可能被愚弄。
“这是因为被利用的进程没有运行有效载荷,它只是运行一个似乎是合法的Java进程的新实例,”Klein说。
识别为系统的硬盘写入的有效载荷也可能很困难。下载程序使用其中的20个名称列表,它随机分配给有效载荷文件。此外,名称是在典型的Windows机器上运行的合法进程中找到的名称 - Google Update,Firefox,Chrome,Opera等。
“如果当您在查看正在运行的流程时不足以检查完整路径名称,您只需看到看起来合法的进程,”Klein说。
这种G01Pack味道的作家似乎落后于时代,并注意到急流7首席安全官高清摩尔。“这一事实上,这一事实上所有的工作都是遗嘱,对AV行业有多糟糕,”他告诉CSO。
他继续,G01Pack漏洞的第二阶段与妥协的新漏洞,他仍在削弱Java Sandbox。“如果你在Java中逃生沙箱逃生,你可以做到你想要的任何东西的内存,”他说。“你不必将文件写入磁盘到任何地方。”
“与已经在那里的东西相比,他们的技术是非常原始的,”摩尔说。
他说,在六个月前,在六个月前攻击攻击中,它也是令人惊讶的是,只有大约40%的安装基地和下降,才能攻击漏洞。“这似乎是他们的时间效率低下。”
阅读有关应用程序安全的更多信息在CSOONLINE的应用安全部分。
这个故事,“老java exproit套件教授新技巧”最初发布CSO 。