最近修補的Internet Explorer 零時差漏洞已在攻擊中受到刺探,該攻擊涉及一個屬於香港福音教會的受入侵網站。賽門鐵克遙測技術發現這個已遭入侵的網站上裝載了一支入侵程式,它被用來以 Korplug 後門程式 (賽門鐵克偵測到的名稱為 Backdoor.Korplug) 感染訪客的電腦。
攻擊者入侵了基督教香港信義會的網站並修改該網站,使它裝載一個惡意的 iFrame,它會將訪客重新導向至裝載了 Microsoft Internet Explorer Remote Memory Corruption Vulnerability (CVE-2015-2502) 入侵程式的另一個網站。該網站的 IP 位址是 115.144.107.55。
該網站裝載了一個叫做 vvv.html 的檔案,它會重新導向到另外兩個名為 a.js 及 b.js 的檔案之一,然後下載一個叫 java.html 的檔案到受害者的電腦上。Java.html 會以稱為 c.exe 的可執行檔在該電腦上安裝 Korplug。
圖 1. 裝載在遭到入侵的香港網站上的惡意 iFrame
Korplug (也稱之為 PlugX) 是一種木馬程式,它會在受感染的電腦上開啟後門,然後用來竊取資訊。賽門鐵克之前也發佈了一些關於 Korplug 的部落格。該惡意程式在過去三年內被用於各種攻擊當中,主要的攻擊地區是亞洲。
圖 2. 導致感染 Korplug 的零時差入侵程式
這個新的 Internet Explorer 零時差程式錯誤昨天已被 Microsoft 修補,發佈於 Security Bulletin MS15-093 中。當使用者以 Internet Explorer 檢視攻擊者處心積慮設計的網頁時,該漏洞會允許執行遠端程式碼。成功入侵此漏洞時,就能讓攻擊者擁有和該使用者相同的使用者權限。Microsoft 的安全更新透過修改 Internet Explorer 處理記憶體中物件的方式解決了這個問題。
防護方式 賽門鐵克及諾頓產品能夠利用以下偵測功能防止利用該漏洞發動的攻擊:
防毒
入侵預防系統
我們偵測到這些攻擊中所使用的酬載 (payload) 如下: