现在宙斯僵尸网络使用Adobe PDF文档格式的一个应用补丁的缺陷与恶意代码感染用户,安全研究人员今天表示。
袭击来了不到一个星期后专家预测黑客很快就会利用“/发射”设计缺陷在PDF文档不知情的用户的计算机上安装恶意软件。
就发现了宙斯变体使用恶意PDF文件嵌入文档中的攻击代码,丹·哈伯德说,首席技术官的圣地亚哥,加州安全公司。当用户打开PDF流氓,他们要求保存一个PDF文件名为“Royal_Mail_Delivery_Notice.pdf。”That file, however, is actually a Windows executable that when it runs, hijacks the PC.
宙斯僵尸网络是第一个主要利用PDF /发射特性,那就是,严格来说,不是一个安全漏洞,但实际上Adobe的规范的设计功能。本月早些时候,比利时研究人员迪迪埃·史蒂文斯证明多级攻击使用/发射如何成功地利用Adobe Reader的fully-patched副本或杂技演员。
史蒂文斯并非第一次揭示/发射脆弱性。2009年8月,一个模块使用相同的缺陷被加入到开源Metasploit渗透测试装备,Metasploit的创造者和HD摩尔称,在Rapid7首席安全官。“科林·艾姆斯的攻击研究写了这个模块作为他的黑帽子美国演讲的一部分,”摩尔说。“迪迪埃的工作是独立于我们已经拥有的,但使用几乎相同的方法的核心。”
今天,史蒂文斯说,宙斯木马攻击实际上是使用Metasploit模块。“我可以阅读,新的宙斯PDF实际使用Metasploit Adobe PDF利用,”史蒂文斯在Twitter上说指着另一种描述M86安全橙色,新的攻击的。
虽然读者和杂技演员在PDF文件中显示一个警告当一个可执行的启动,这是不足以阻止用户推出虚假文件,Websense的哈伯德说。“没有人blanket-blocking pdf网关,”他说。“有这么多的商业价值在pdf文档,它们很普遍。”In other words, people trust PDFs, he said -- much more even than some other popular document formats, such as微软词。
Websense追踪几千宙斯攻击使用嵌入的恶意软件和/发射功能。“袭击仍在继续,”哈伯德说。
虽然攻击技术可能是新的,但幕后的恶意软件和生产标准是宙斯票价的帮派,哈伯德继续。宙斯最出名的是种植在受害者的身份盗窃代码例如,电脑窃取网上银行登录的用户名和密码。“这里的动机并没有什么不同,”哈伯德说。
安全公司首席执行官上周,米奇Boodaei受托人,押注/发射函数将很快被黑客利用与金融恶意软件感染电脑。史蒂文斯尚未发布概念验证攻击代码,但受托人的工程师们很容易能复制他的攻击。宙斯的创造者似乎已经被抓,一个更简单的快捷方式代码从艾姆斯的Metasploit模块。
“这肯定给他们另一个工具在他们的阿森纳,”哈伯德,指的是宙斯僵尸网络运营商。
现在宙斯已经武装/启动策略,其他黑客可能会把它捡起来。“这不是罕见的,”哈伯德说,“特别是Metasploit模块。”
Adobe没有立即回复质疑宙斯的发射/操纵使用pdf将促使该公司为读者和Acrobat发布一个补丁。以前,Adobe已经承认错误,但并没有致力于生产一个补丁。相反,该公司已敦促用户改变读者和Acrobat的设置禁用脆弱的函数。
布拉德·阿金,自那以后,产品安全和隐私,Adobe的主任说,一个公司可以解决这个问题将是更新读者和Acrobat的功能被禁用。目前,Adobe软件默认打开/发射功能。
Adobe发布指令关于如何配置读者和Acrobat阻碍宙斯现在正进行的攻击。
格雷格Keizer包括微软,安全问题,苹果,网络浏览器和计算机世界通用技术新闻。格雷格在Twitter上关注格雷格@gkeizer或订阅的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多关于安全在计算机世界的安全知识中心。
这个故事,”宙斯僵尸网络利用应用补丁的PDF缺陷”最初发表的《计算机世界》 。