近日一些常用的软件及网站或者电脑中病毒的事件,引发了很多人的注意,原本认为“只要不浏览不健康的网站”就不会中招的人现在也开始犹豫是否安装安全软件了……
I. 由CVE-2014-6332引发的血案
去年年底,360安全中心监控发现,原本已经平静一段时间的网页挂马数量骤增,相关的恶意软件传播量也开始暴增,大量由漏洞引发的木马攻击案例不断出现。360网页防护也在快速更新,动态拦截了大批挂马攻击,并拦截了大量挂马网站的访问。
后经分析,发现大量出现的挂马攻击主要来自漏洞——CVE-2014-6332.由于这一漏洞影响范围广泛,并且在微软xp停服之后被公布,在xp下没有对应的官方补丁,造成漏洞被广泛利用。
网上公开的利用代码节选:
已经被用于传播木马的页面代码节选:
攻击者利用网上公开的测试代码,修改成木马传播代码。通过黑站,广告链等方式大规模传播,造成了木马大范围传播。
II.6332再临
而就在各大浏览器纷纷修补漏洞,做好安全防护之后,这个漏洞利用代码却又被悄悄的移植到了程序内置的广告页中。因为大量播放器内嵌了IE的浏览器内核进行广告展示而遭到该漏洞影响,继而引发了新的一波漏洞攻击事件。也造成了巨大影响,下面是之前播放器挂马的yesimck攻击拦截量:
III. 0day与Nday
0day(零日)漏洞,是厂商未发布修复补丁的漏洞。而Nday则是厂商已经发布补丁的漏洞,因为时间、习惯、安全意识等原因还有很多人没有打补丁。
这也就潜藏着一种危险:作为安全研究者或爱好者,如果手里掌握了0day漏洞的利用代码,绝大多数人还是有自觉性不去公开这个利用代码的(无论是白帽子出于行业自律还是黑帽子们出于商业利益考虑)。那么这个漏洞对于大众的安全危害也是有限的。
但Nday则完全不同,漏洞被修补后,很多会被公开或者分析出来,网上能找到公开的漏洞利用代码或利用方法……一旦修补不及时,这时的漏洞利用代码虽然不再像0day时那样是见血封喉的秘密武器,却变成了大规模杀伤性武器。
而上面的CVE-2014-6332漏洞就是典型的Nday漏洞利用导致的大规模木马爆发问题。
IV.flash挂马死灰复燃
6332爆发后不久,我们将客户端软件加入了6332漏洞拦截的范围,攻击者开始尝试使用几个flash漏洞进行挂马,影响了国内数款播放器和系统恢复软件,因为这些漏洞都得到了有效的拦截,所以这波挂马攻击很快就被打压下去。
V. CVE-2015-5122再起波澜
就在CVE-2014-6332漏洞风波折腾了一年尚未平息,CVE-2015-5122漏洞的利用代码再次因Hacking Team被攻破而被公开。
很快网上有了漏洞利用教程(节选):
而随着漏洞利用代码和方法的公开,我们也监控到了大量利用该漏洞传播恶意软件的网站。
360对此类挂马站点的拦截:
60网盾对漏洞攻击的拦截:
同时也捕捉到了大量利用该漏洞利用代码的样本——利用代码与网上公布的代码极其相似,甚至连混淆方式都一模一样:
在Adobe发布官方修补补丁之后,该漏洞仍然在不断被利用。10月中旬,该漏洞随着一个广告联盟推广了几个带漏洞利用的广告,开始再次大规模爆发。
CVE-2015-5122漏洞挂马页面:
近期一周对该漏洞的拦截量分布:
通过对挂马站点与联盟的拦截,迫使联盟下线了带漏洞攻击的flash广告,木马传播量开始大幅下降。
VI. 谈谈补丁与安全软件的重要性
从去年的CVE-2014-6332到今年的CVE-2015-5122。不同原因,不同产品,但却有着类似结果的两次Nday漏洞利用攻击事件,通过网上公开的漏洞利用代码,攻击者可以低成本的拥有“重武器”,一下子将“软件漏洞”这个词拉到了一个与我们日常网络生活息息相关的位置。
一些“电脑城商家”会出于自身商业利益驱使(有些仅仅是怕麻烦),给广大小白用户灌输一些歪曲的理论——“打补丁没用,会拖慢系统”、“杀毒软件无用,会卡系统?”。甚至我们身边的一些“电脑高手”也会说一句“你看我不装杀软裸奔,几年都没中过毒”、“只要平时养成良好的上网习惯,不上乱七八糟的网站,就不会中毒。”——这一句句的“金玉良言”犹在耳畔,令人唏嘘……
补丁的作用,是从源头根本上消灭之前版本程序中存在的问题,将存在的软件漏洞去掉。良好的上网习惯固然很重要,但第三方广告、网络劫持、ARP攻击等风险的存在,导致即使网站/软件自身不作恶,也难保用户在浏览网页,使用软件时的安全。尤其是在网络劫持的情况下,即使用户不打开任何网站,只要开着电脑连着网就有可能中招。
即便你能够及时的更新软件安装补丁,还是有无处不在的恶意软件恶意代码在时刻虎视眈眈。一款靠谱的安全软件,做为计算机的保护者,能够帮你抵御绝大部分情况下的木马漏洞攻击,阻止恶意软件蔓延。面向大众的木马,目的是获利而不是秀存在。须知没中过毒和不知道自己中毒,从来不是一个概念!