扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
利用先前安全研究员揭露的合法“/Launch”指令,搭配社交工程手法的攻击出现了,攻击者将其用来传递Zeus恶意程序。
4月初,国外媒体报导了安全研究员Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻击手法,并称其可能成为未来PDF安全上的一大威胁。果不其然,现在利用此一手法的攻击已经出现了。
安全厂商Websense的负责人Dan Hubbard日前公开表示,他已经发现黑客开始利用“/Launch”指令,通过合法的方式搭配社交工程掩护,攻击使用者的事件。其手法正好和Stevens和Conway所揭露的方式如出一辙。
两位安全研究员所揭露的手法是这样的,3月底,Dider Stevens证实了,可以透过PDF合法的“/Launch”指令,让PDF文件在开启的时候,自动去执行任何应用程序。虽然多数的PDF阅读软件,都会跳出警告,但是警告的文字内容,也可以被攻击者更改,这使得攻击者可以透过社交工程的方式,诱骗使用者打开应用程序。
4月初,Jeremy Conway利用这个方法,证明了攻击者可以通过被植入“/Launch”指令程序代码的PDF文件,让另一个健康的PDF文件被植入程序代码,在PDF阅读软件没有允许Java Script可以执行的状况下,让使用者只要点击被植入了程序代码的PDF文件,并且被社交工程手法诱骗去点选开启程序时,就自动连线到攻击者指定的网站。这和过去通过PDF夹带Java Script的手法完全不同,可以利用完全合法的手段让使用者连上恶意网站。因为是合法的手段,这代表着在这过程中,几乎没有任何杀毒软件会发出警告。
现在,网络上已经有攻击者开始利用这个手法,散布知名的僵尸网络恶意程序Zeus的变种。Zeus是一个臭名昭彰的恶意程序,拥有许多变种,被感染的电脑会被攻击者利用,成为僵尸电脑。攻击者会寄送一封夹带有Royal_Mail_Delivery_Notice.PDF文件的电子邮件,只要使用者执行该PDF文件,并且允许后续动作的话,就会在使用者的电脑中植入恶意程序Zeus。不过此手法最终还是利用Java Script来连到恶意网站,只要使用者关闭了Java Script执行的功能就可以避免危险。
Adobe的软件是现在人们使用最多的PDF阅读软件。目前,Adobe还没有将这个漏洞修复,先前推出的大规模更新,也没有针对此漏洞进行修正,取而代之的是要求使用者关闭PDF阅读软件中,开启第三方应用程序的功能,藉此阻挡“/Launch”功能。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者