Minggu lalu saya dan Eric Romang melaporkan penyiraman lubang serangan terhadap beberapa situs web bernilai tinggi, termasuk sebagai contoh utama Hong Kong partai politik. Website ini menggunakan Internet Explorer terbaru (CVE-2012-4792) kerentanan, ditambal di MS13-008, tetapi juga Java terbaru (CVE-2013-0422) kerentanan, ditambal di Oracle Java 7 Pembaruan 11.
Tampaknya satu minggu kemudian, Reporters Without Borders (Wikipedia link), Perancis-berbasis internasional non-pemerintah organisasi yang mengadvokasi kebebasan pers dan kebebasan informasi, adalah situs web baru yang digunakan untuk kampanye lubang berair. Organisasi semacam itu adalah target yang ideal untuk kampanye lubang air, karena tampaknya sekarang para penjahat berkonsentrasi hanya pada hak asasi manusia / situs politik - Tibet banyak, beberapa Uygur, dan beberapa partai politik di Hong Kong dan Taiwan yang merupakan hits terbaru di operasi ini. Dalam pendapat kami jari dapat dengan aman menunjuk ke Cina (lagi).
Seperti untuk partai politik Hong Kong, versi bahasa Inggris dari RWB sedang melakukan inklusi javascript untuk "hxxp :/ / en.rsf.org / local / cache-js / m.js".
Tampaknya satu minggu kemudian, Reporters Without Borders (Wikipedia link), Perancis-berbasis internasional non-pemerintah organisasi yang mengadvokasi kebebasan pers dan kebebasan informasi, adalah situs web baru yang digunakan untuk kampanye lubang berair. Organisasi semacam itu adalah target yang ideal untuk kampanye lubang air, karena tampaknya sekarang para penjahat berkonsentrasi hanya pada hak asasi manusia / situs politik - Tibet banyak, beberapa Uygur, dan beberapa partai politik di Hong Kong dan Taiwan yang merupakan hits terbaru di operasi ini. Dalam pendapat kami jari dapat dengan aman menunjuk ke Cina (lagi).
Seperti untuk partai politik Hong Kong, versi bahasa Inggris dari RWB sedang melakukan inklusi javascript untuk "hxxp :/ / en.rsf.org / local / cache-js / m.js".
The "m.js" file menciptakan sebuah cookie "Somethingbbbbb" dengan satu hari tanggal kedaluwarsa. Nama cookie dapat dikaitkan dengan partai politik Hong Kong "m.js" nama cookie yang "Somethingeeee". Ini jenis kue sudah digunakan dua tahun lalu dalam serangan serupa dengan eksploitasi yang berbeda.
Jika Internet Explorer 8 yang digunakan, iframe dimuat dari file "hxxp :/ / newsite.acmetoy.com / m / d / pdf.html". Jika dua iframe akan memuat "hxxp :/ / 98.129.194.210/CFIDE/debug/includes/java.html" dan "hxxp :/ / newsite.acmetoy.com / m / d / javapdf.html".
Jika Internet Explorer 8 yang digunakan, iframe dimuat dari file "hxxp :/ / newsite.acmetoy.com / m / d / pdf.html". Jika dua iframe akan memuat "hxxp :/ / 98.129.194.210/CFIDE/debug/includes/java.html" dan "hxxp :/ / newsite.acmetoy.com / m / d / javapdf.html".
newsite.acmetoy.com analisis
"Newsite.acmetoy.com" situs web hosting CVE-2012-4792 terkait file-file berikut:
- "Pdf.html" (ffe715a312a488daf3310712366a5024): Traditional "DOITYOUR" dikaburkan Javascript file yang mencoba untuk mengeksploitasi kerentanan Internet Explorer terbaru, CVE-2012-4792.
- "Logo1229.swf" (da0287b9ebe79bee42685510ac94dc4f): Traditional "DOITYOUR" varian dari "today.swf".
- "DOITYOUR02.html" (cf394f4619db14d335dde12ca9657656): Traditional "DOITYOUR" varian dari "news.html".
- "DOITYOUR01.txt" (a1f6e988cfaa4d7a910183570cde0dc0): Traditional "DOITYOUR" varian dari "robots.txt".
- "Newsite.acmetoy.com" situs web juga hosting Java kerentanan berikut yang berhubungan file:
- "Newsite.acmetoy.com" situs web juga hosting Java kerentanan berikut yang berhubungan file:
- "Javapdf.html" (b32bf36160c7a3cc5bc765672f7d6f2c): Javascript file untuk CVE-2013-0422 atau CVE-2011-3544 eksploitasi.
- "AppletHigh.jar" (f02ffa2b293ff370d0ea3499d0ade9bd): CVE-2013-0422 exploit.
- "AppletLow.jar" (1da8f77dde43f55585896eddaff43896): CVE-2011-3544 exploit.
98.129.194.210 analisis
"98.129.194.210" situs web hosting file Java berikut kerentanan terkait, seperti yang Anda lihat, mereka benar-benar sama seperti di atas dan kemungkinan besar hanya berfungsi sebagai server cadangan dalam kasus Takedown.
- "Java.html" (b32bf36160c7a3cc5bc765672f7d6f2c): Javascript file untuk CVE-2013-0422 atau CVE-2011-3544 eksploitasi.
- "AppletHigh.jar" (f02ffa2b293ff370d0ea3499d0ade9bd): CVE-2013-0422 exploit.
- "AppletLow.jar" (1da8f77dde43f55585896eddaff43896): CVE-2011-3544 exploit.
Ini binari dijatuhkan oleh eksploitasi:
686D0E4FAEE4B0EF93A8B9550BD544BF334A6D9B495EC7BE9E28A0F681F5495C, yang merupakan alat akses remote (RAT) diprogram untuk menghubungi luckmevnc.myvnc.com (112.140.186.252, Singapura) atau luckmegame.servegame.com (saat diparkir).
A14CCC5922EFC6C7CEC1BB58C607381C99967ED4B7602B7427B081209AAF1656 adalah injektor menarik yang men-download sesuatu yang berpura-pura menjadi halaman web error, isi decode, yang sebenarnya posisi-kode bebas yang kemudian disuntikkan ke proses lain. Ini juga RAT, menghubungi d.wt.ikwb.com (58.64.179.139, Hong Kong).
Kami sudah menghubungi webmaster RSF dan kode harus sudah dihapus. Avast pengguna dilindungi pada beberapa tingkat terhadap ancaman ini, juga update ke versi terbaru dari paket perangkat lunak yang rentan adalah suatu keharusan. Atau menyingkirkan mereka, karena sebagian besar pengguna dengan aman dapat menggantikan MSIE dengan browser lain, dan benar-benar menguninstall Jawa, mengurangi serangan permukaan.
686D0E4FAEE4B0EF93A8B9550BD544BF334A6D9B495EC7BE9E28A0F681F5495C, yang merupakan alat akses remote (RAT) diprogram untuk menghubungi luckmevnc.myvnc.com (112.140.186.252, Singapura) atau luckmegame.servegame.com (saat diparkir).
A14CCC5922EFC6C7CEC1BB58C607381C99967ED4B7602B7427B081209AAF1656 adalah injektor menarik yang men-download sesuatu yang berpura-pura menjadi halaman web error, isi decode, yang sebenarnya posisi-kode bebas yang kemudian disuntikkan ke proses lain. Ini juga RAT, menghubungi d.wt.ikwb.com (58.64.179.139, Hong Kong).
Kami sudah menghubungi webmaster RSF dan kode harus sudah dihapus. Avast pengguna dilindungi pada beberapa tingkat terhadap ancaman ini, juga update ke versi terbaru dari paket perangkat lunak yang rentan adalah suatu keharusan. Atau menyingkirkan mereka, karena sebagian besar pengguna dengan aman dapat menggantikan MSIE dengan browser lain, dan benar-benar menguninstall Jawa, mengurangi serangan permukaan.
