利用PDF合法漏洞的攻擊事件出現

文/劉哲銘 (記者)/iThome 2010-05-04
利用先前資安研究員揭露的合法「/Launch」指令,搭配社交工程手法的攻擊出現了,攻擊者將之用來傳遞Zeus惡意程式。

上周iThome電腦報周刊封面故事報導了資安研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法,將可能成為未來PDF安全上的一大威脅。果不其然,現在利用此一手法的攻擊已經出現了。
資安廠商Websense的技術長Dan Hubbard,日前公開發表了他發現駭客開始利用「/Launch」指令,透過合法的方式搭配社交工程掩護,攻擊使用者的事件。其手法正好和資安研究員 Dider Stevens和Jeremy Conway所揭露的方式如出一轍。
用PDF合法的指令,誘騙使用者打開惡意程式
兩位資安研究員所揭露的手法是這樣的,3月底,Dider Stevens證實了,可以透過PDF合法的「/Launch」指令,讓PDF檔案在開啟的時候,自動去執行任何應用程式。雖然多數的PDF閱讀軟體,都 會跳出警告,但是警告的文字內容,也可以被攻擊者更改,這使得攻擊者可以透過社交工程的方式,誘騙使用者打開應用程式。
而隨後4月初,Jeremy Conway利用這個方法,證明了攻擊者可以透過被植入「/Launch」指令程式碼的PDF文件,讓另一個健康的PDF文件被植入程式碼,並且在PDF 閱讀軟體沒有允許Java Script可以執行的狀況下,讓使用者只要點擊被植入了程式碼的PDF檔案,並且在被社交工程手法誘騙去點選開啟程式的狀況下,就自動連線到攻擊者指定 的網站。這和過去透過PDF夾帶Java Script的手法完全不同,可以利用完全合法的手段讓使用者連上惡意網站。因為是合法的手段,這代表著在這過程中,幾乎沒有任何防毒軟體會發出警告。
散播的惡意程式為Zeus,是首宗用此一手法的攻擊
現在,根據Dan Hubbard所發表的內容,網路上已經有攻擊者開始利用這個手法,散布知名的僵屍網路惡意程式Zeus的變種。據了解,攻擊者會寄送一封夾帶有 Royal_Mail_Delivery_Notice.PDF檔案的電子郵件,然後只要使用者執行此一PDF檔案,並且允許後續動作的話,就會像在使用 者的電腦中植入惡意程式Zeus。這是目前首個被發現利用此一手法攻擊的惡意程式。不過此一手法最終還是利用Java Script來連外道惡意網站植入惡意程式,也沒有透過社交工程的手法去修改警告方塊的文字,誘騙使用者允許後續動作,所以還沒有像前述手法那樣高明,只 要使用者關閉了Java Script執行的功能就可以避免危險。
Zeus是一個惡名昭彰的惡意程式,擁有許多變種,被感染的電腦就會被攻擊者利用,成為僵屍電腦。由於不易被發現,Zeus已經是目前在美國肆虐最嚴重的 惡意程式之ㄧ,根據非正式的估計,光在美國目前就約有360萬臺電腦已經感染了此一惡意程式的各種變種。先前由華爾街日報揭露的僵屍網路 「Kneber」,也是使用Zeus做為攻擊的程式。
Adobe的軟體是目前最多人使用的PDF閱讀軟體,不過針對這個利用PDF閱讀軟體合法功能的漏洞,Adobe目前還沒有將其完全根絕,先前推出大規模 更新,也沒有針對此一手法做出修正,取而代之的是要求使用者關閉PDF閱讀軟體中,開啟第三方應用程式的功能,藉此阻擋「/Launch」功能。
企業的IT管理者,如果想要避免這個問題,目前除了上述關閉PDF閱讀軟體的部分功能外,還必須搭配閘道端的掃描。

Please follow and like us:

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *