恶意PPT文件夹带漏洞攻击和后门程序
趋势科技发现有一个恶意PowerPoint 文件,会以邮件附件的形式攻击用户。这个文件内嵌一个Flash 内容,会利用特定版本Flash Player 的漏洞(CVE-2011-0611)将后门程序植入用户计算机内。
一旦用户者打开恶意PPT 文件,就会触发Flash 内的Shellcode,并利用CVE-2011-0611 漏洞展开攻击,将“Winword.tmp”文件保存到Temp 文件夹。同时还会产生一个非恶意的PowerPoint 文件“Powerpoint.pps”以蒙骗用户认为这只是一般的PPT简报。根据趋势科技的分析,“Winword.tmp”是一个后门程序,可以连到远程服务器,并与幕后黑手通讯。此外该程序还可以下载并执行其他恶意软件,让受感染系统面临更可怕的威胁,例如运行进行数据外泄数据窃取的恶意软件。
趋势科技将这个恶意PowerPoint 文件命名为TROJ_PPDROP.EVL,产生的后门程序命名为BKDR_SIMBOT.EVL。根据报导以及趋势科技的分析都可以看出,以往的目标攻击也用过这类恶意软件。
目前最新的的威胁已经不再只是将恶意软件伪装成一般的二进制文件(例如EXE 文件),并夹带到电子邮件中。这些特制的文件可以嵌入到一般常用的PDF、DOC、PPT 或XLS 文件中。在这种攻击手法里,用户往往不会察觉,因为TROJ_PPDROP.EVL 也会展示非恶意的PowerPoint 文件作为攻击的烟幕弹。
可靠的漏洞:有效的感染关口
这起案例也显示出,网络犯罪份子会不停地利用常见软件的旧漏洞(例如MS Office 或是Flash 等),在之前的文章里,我们发现有些已经被上报过的旧软件漏洞,例如 CVE-2010-3333和 CVE-2012-0158 仍然被攻击者利用着。这些发现告诉了我们两件事:首先,可靠漏洞的攻击码仍然是有效的网络犯罪工具;其次,大多数用户都不会经常给系统安装最新得升级程序和补丁,而这也解释了为什么攻击者可以不断地利用这些旧的系统漏洞。
趋势科技会通过趋势科技云计算安全技术保护用户,封锁相关的电子邮件和网址,并且查杀TROJ_PPDROP.EVL 和BKDR_SIMBOT.EVL。在这个只要借助简单的文件即可能导致数据外泄的年代,用户在打开电子邮件附件的时候一定要非常小心,特别是来自未知发件人的邮件。此外用户也应该经常更新安全补丁程序,将系统维护在最新状态。
@原文出处:MaliciousPowerPoint File Contains Exploit, Drops Backdoor
什么是APT?简单来说,就是针对特定组织所作的复杂且多方位的网络攻击。
认识 APT
以往黑客发动的APT 攻击虽然主要以政府为目标,但从2010 年开始,越来越多的企业也开始成为黑客锁定窃取信息情报的受害者,2011 年几个世界性组织就曾在目标攻击下沦陷,付出了昂贵的代价。RSA 和Sony 是 2011 年最大的两个APT-高级持续性渗透攻击的目标。另外还有几个世界性组织在目标攻击下沦陷,付出了昂贵的成本。他们失去了数百万客户的数据,光是完成修复工作就花费了巨资。
APT 攻击的特色:
【锁定特定目标】针对特定政府或企业,长期进行有计划、有组织地情报窃取行为,可能持续几天、几周、几个月,甚至更长的时间。
【假冒信件】针对被锁定对象发送几可乱真的社会工程学恶意邮件,例如冒充上司的来信,取得在计算机中植入恶意软件的第一个机会。
【低调且缓慢】为了进行长期潜伏,入侵的恶意软件往往具有自我隐藏能力,能够避免被检测到,并伺机窃取管理者账号和密码。
【定制化的恶意组件】攻击者除了使用现成的恶意软件外,还会使用专门定制的恶意组件。
【安装远程控制工具】攻击者会建立一个类似殭尸网络的远程控制架构,并且攻击者会定期将有潜在价值的文件副本传送给命令与控制服务器并进行审查。
【传送情报】将过滤后的敏感机密数据利用加密方式外传。
APT 高级持续性渗透攻击可能会持续几天、几周、几个月,甚至更长时间。APT 攻击可以从搜集情报开始,这可能会持续一段时间,其中可能包含技术和人员情报的搜集。情报收集工作可以塑造出后期的攻击,这可能很快速,或持续一段时间。
例如,试图窃取商业机密可能需要用几个月时间研究相关安全协议、应用程序弱点,以及文件位置等信息,但当计划完成后,只需要一次几分钟的运行时间就可以了。在其他情况下,攻击可能会持续较长的时间。例如,成功将Rootkit部署到服务器后,攻击者可能会定期传送有潜在价值文件的副本到命令与控制服务器并进行审查。
【如何避免APT 高级持续性渗透攻击?】
趋势科技建议用户应:
- 养成良好的计算机使用习惯,避免打开来路不明的邮件附件文件
- 安装具有信誉的信息安全软件,并定期进行系统更新与扫毒
- 另一方面,为预防员工成为黑客攻击企业内部的跳板,建议企业也应:
- 建立早期预警系统,监控可疑访问及计算机
- 布建多层次的信息安全防御机制,以获得纵深防御效果
- 对企业内部敏感数据建立监控与访问政策
- 企业内部应定期执行社会工程学攻击演练
趋势科技PC-cillin 2012 云安全软件采用了最新的云计算安全技术,能随时搜集最新威胁信息,随时协助计算机抵御最新出现的病毒与恶意软件。30 天免费试用版下载:免费下载。
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载/论坛/分享 http://www.iqushi.com
官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud
趋势科技CEO:陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro
恶意PPT文件夹带漏洞攻击和后门程序相关推荐
- 文件包含原理及本地文件包含漏洞演示(本地文件,远程包含文件的测试)
一.文件包含漏洞概述 1.定义:文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序.当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行 ...
- 验证本地缓冲区溢出漏洞攻击
Info:本篇主要是为了验证本地缓冲区溢出,这是理解缓冲区溢出攻击的第一步,有了这一步,才能更深刻的理解到什么是缓冲区漏洞攻击,从而对以后的学习奠定一定的基础(注意:以下请在linux环境下实验) 基 ...
- web安全之文件上传漏洞攻击与防范方法
一. 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行.这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等.这种攻击方式是最为直接和有效 ...
- php文件上传漏洞攻击与防御
转自:http://www.cnblogs.com/crazylocust/p/6759529.html 前言 从一年前开始学习web安全以来,一直都是在吸收零碎的知识,不断地看书与一些前辈的文章,中 ...
- 文件上传漏洞攻击与防御
前言 从一年前开始学习web安全以来,一直都是在吸收零碎的知识,不断地看书与一些前辈的文章,中间也经过一些实践,学习相关的工具,但是却没真真正正地在脑中形成一套完整的体系.从不久前就想着要写一些博客, ...
- Apache Commons Fileupload 漏洞,可恶意操作文件
点击蓝色"程序猿DD"关注我 回复"资源"获取独家整理的学习资料! 作者 | spoock 来源 | https://tinyurl.com/y34djpar ...
- 网络安全攻防——webshell攻击文件操作漏洞
文章目录 1.文件加载与导入 load_file ()读取服务器中的文件 into outfile()向服务器导入本地文件 2.一句话木马(小马)+大马+webshell 2.1 一句话木马 2.2 ...
- 美国国家安全局(NSA)“酸狐狸”漏洞攻击武器平台技术分析报告
本文转载自"CVERC "官网 作者:国家计算机病毒应急处理中心 近日,国家计算机病毒应急处理中心对美国家安全局(NSA)"酸狐狸"漏洞攻击武器平台(FoxA ...
- 隐藏17年的Firefox文件窃取漏洞,可结合WhatsApp钓鱼窃取文件
前些日子,火狐浏览器官方刚发布安全更新,称修复了一个存在于 Firefox 全平台所有版本中的远程代码执行漏洞,除此之外还有一个绕过沙箱的漏洞同样被在野利用,该漏洞已经被用于野外攻击,最后释放的是Ma ...
最新文章
- MySQL基础之select基本查询
- httpTomcat
- vc++ 利用jmail组件收发邮件
- 【学习笔记】月末操作-自动清账
- JZOJ 3632. 【汕头市选2014】舞伴
- 第2章 一切都是对象
- 为什么服务器要选择 Linux,这里总结了 10 大理由
- java几最快_Java 11 究竟比 8 快了多少?
- C# 获得两日期之间所有月份(包括跨年)
- Collections.unmodifiableCollection
- 【正在完善】高级CSS特效解析其示范案例
- JAVA数组——二分查找
- 学堂在线CPP笔记上(1-6章)
- 程序员的修炼之道 从小工到小工
- 高中数学学习技巧,这几步你都做到了吗?
- 径向渐变加阴影html,CSS3 径向渐变(radial-gradient)
- 微信小程序--七彩爱心加载动画
- VMware Fusion安装cloudera manager
- linux c 删除文件,linux c remove 删除文件或目录函数
- Daily Scrum Meeting 11.03