Endpoint Protection

在香港发生的网络攻击中利用了最新的 Internet Explorer 零日漏洞 

08-19-2015 12:21 PM

IE zeroday hong kong 1.jpg

最新打补丁的 Internet Explorer 零日漏洞已被用于攻击位于香港的一家福音教派的网站。赛门铁克遥测技术发现了位于被侵害网站上的漏洞利用,利用 Korplug 后门(由赛门铁克识别并命名为 Backdoor.Korplug)来感染访客。

攻击者入侵了香港福音派路德教会的网站,进行改动,在其中托管了恶意 iFrame,将访客重定向到另一个托管了 Microsoft Internet Explorer 远程内存破坏漏洞(CVE-2015-2502) 的网站。此网站的 IP 地址为 115.144.107.55。

该网站中驻留了名为 vvv.html 的文件,该文件重定向到另外两个名为 a.js 和 b.js 的文件之一,从而将名为 java.html 的文件下载到受害者的计算机。Java.html 会在计算机以名为 c.exe 的可执行文件形式安装 Korplug。

IE zeroday hong kong 2.png
图 1. 香港受侵害网站上驻留的恶意 iFrame

Korplug(也称为 PlugX)是在被感染计算机上维护一个后门的木马程序,用于窃取信息。赛门铁克以前发表了多篇与 Korplug 相关的博客。过去三年中有大量攻击使用了该恶意软件,主要位于亚洲。

IE zeroday hong kong 3.png
图 2. 零日漏洞利用导致 Korplug 感染

昨天,Microsoft 在其 Security Bulletin MS15-093中对新的 Internet Explorer 零日 bug 打了补丁。这一漏洞使得 Internet Explorer 用户在查看特制网页会允许远程代码执行。成功利用该漏洞会授予攻击者与当前用户相同的权限。Microsoft 的安全更新通过修改 Internet Explorer 处理内存中对象的方式解决了这一问题。

防护
赛门铁克和诺顿产品通过下列检测内容,针对此漏洞利用提供保护:

防病毒

入侵防御系统

在这些攻击中检测到的攻击负载包括:

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.