阿碼外傳-阿碼科技非官方中文 Blog: 2009/7/22

2009年7月22日

暑假0day掛馬盛期,網友們要小心!

最近接二連三爆出很多 0day 漏洞,讓擅長利用網頁掛馬攻擊手法拓展「業務」的地下經濟,突然又熱絡了起來,也造就新一波的掛馬高峰期。這幾天聽到幾位朋友跟我說作業系統已經更新到最新了還中木馬,於是請他們丟些可疑網址給我看看,略為分析了一下某網站,上面主要是被插入這串: (網址加上*號,防止不小心點到)

http://ok**.org/z.js

,繼續追蹤發現主要的網馬都包含在這網頁裡面:

http://6****.com/aa/a3a.htm

,接著我發現了一件事情 「挖!好牛喔!」 以前看到的網馬裡面還會放一堆老舊的 Exploit,而這隻網馬我分析了一下,看到都是近期爆出的 0day 漏洞,主要攻擊以下的漏洞:

1.DirectShow的DirectX NULL Byte Overwrite Vulnerability 請參考 這裡
2.DirectShow MPEG2TuneRequest Stack Overflow Exploit 請參考 這裡
3.FireFox 3.5 (Font tags) Remote Heap Spray Exploit 請參考 這裡
4.Microsoft Office Web Components (Spreadsheet) ActiveX BOF (注意!微軟尚未更新)

以上網馬都是下載同一隻木馬,路徑在: http://ho****8.com/svchost.exe 。 (註:下載惡意程式的路徑會一直改變)




以下針對每隻網馬做觸發測試 (危險動作,請勿模仿)



1.DirectX NULL Byte Overwrite Vulnerability
2.DirectShow MPEG2TuneRequest Stack Overflow Exploit

可以在 test.htm 裡面看到有兩個 jpg 分別為 go.jpg 與 go1.jpg 就知道這是最近的 DirectShow 漏洞,go.jpg 利用的是 DirectShow 6月份爆出來的第一隻 0day ,可參考這裡 ,而 go1.jpg 利用的則是最近很紅的弱點,不過微軟上禮拜二已經修正了,我們同事之前也有談到相關內容: 3b3.org 在 0 Day 的大復活日記

以上弱點的解決方法:透過微軟更新。

3. FireFox 3.5 (Font tags) Remote Heap Spray Exploit

我在測試環裡面使用了 FF3.5 BETA5 版 成功觸發 Exploit,下面有一系列截圖。

he.htm 就是 FireFox 3.5 (Font tags) Remote Heap Spray Exploit

h.js 就是駭客的呼叫遠端惡意程式的 Shellcode。

此圖為利用 FireFox 3.5 beta4 瀏覽 he.htm 時,在 Process 可以看到在 FireFox 下悄悄的執行了惡意程式。


解決方法: 將 FireFox 更新為3.5.1 就可以了,但現在也有針對3.5.1的漏洞,所以我們自己還是要小心一點,隨時注意更新或使用第三方軟體(如 NoScript)防範!

4.Microsoft Office Web Components (Spreadsheet) ActiveX BOF

測試環境是安裝最新版Office 2003 版,並更新到最新,仍觸發成功。

一開始使用 IE 打開 of.htm 這個網頁,首先他會先判斷你有沒有安裝 Office ,假如有安裝 Office,且瀏覽器的安全性設定裡面的 執行 ActiveX 控制項與外掛程式設定為「啟用」,那瀏覽到惡意網頁時,會不知不覺直接下載一個 Microsoft 元件 owc10.dll,然後執行呼叫遠端的的惡意程式到本機執行,這樣就中木馬了!

假如執行 ActiveX 控制項與外掛程式設為「提示」,則瀏覽惡意網頁的時候,會跳出視窗詢問「你是否同意執行 ActiveX」,只是,一般使用者應該都會閉著眼睛直接按下同意吧!

而我的測試環境是在 IE 上裝了 add-ons 來測試,在瀏覽惡意網頁時一樣會在 IE 跳出一個 ActivX 請求在瀏覽器上安裝 owc10.dll,然後與絕大多數使用者的反應一樣按下 Run ,接著就觸發駭客寫好的 shellcode ,騎著可愛的小馬回家了!

解決方法:目前微軟尚未發佈更新,只能等待,使用者要提高警覺,不要看到對話框就按「是」!






總結:
1.這一次分析的網馬上面所利用的各種 Exploits 都是最近爆發出來的新弱點,雖然有些已經發佈更新了,但是我相信一定還有不少使用者還沒有更新系統,原因可能是盜版或是懶得更新等等,這樣造成了瀏覽網站的風險始終高居不下!

2.這次測試,比較花時間的部份都是在整理測試環境,這些網馬觸發的機率都很高,也不需要很嚴苛的條件,使用者要提高警覺,注意更新或使用第三方軟體(如 NoScript)來保護自己的瀏覽行為。

3.對於瀏覽網站過程中,出現莫名其妙要您的 IE 瀏覽器接受 ActiveX 下載 dll時,請千萬要注意,不要隨便同意 ActiveX 下載,以免遭植入惡意程式,騎著小馬回家!

4.擔心自己網站被掛馬,可以註冊免費HackAlert網站掛馬監控帳號

作者Sun為阿碼科技資安顧問


繼續閱讀全文...