浅析漏洞攻击与恶意程序植入的合作关系

精密的恶意程序散播技巧

这类工具可让僵尸网络/傀儡网络 Botnet经营者彼此合作，或者参与联合行动。有了这类工具，现在，恶意程序的作者就能付费请僵尸网络/傀儡网络 Botnet网络经营者代为将恶意程序安装至受害者的电脑上。一个僵尸网络/傀儡网络 Botnet可用来散播各式各样的恶意程序，例如：SpyEye、ZeuS 或假杀毒软件。

网络犯罪者需要吸引访问者连上他们的恶意网站，才能在访问者的电脑上安装恶意程序。为了吸引访问者流量，僵尸网络/傀儡网络 Botnet经营者通常会在地下聊天室或地下论坛上购买合法网站的 FTP 帐号密码。此外，一旦僵尸网络/傀儡网络 Botnet上线运作之后，其幕后经营者就能在已入侵的系统上直接窃取一些 FTP 帐号密码。偷到的帐号密码，歹徒还可以用来入侵其他合法的网站，然后再将合法网站的使用者重导至自己所控制的服务器。

本文将分析一台恶意程序服务器的运作方式，此服务器用来接收已入侵网站重导过来的流量。访问者会被重导至一个漏洞攻击套件。如果访问者的系统被入侵成功，访问者的电脑就会连线至一个程序植入工具（loader），该工具再将各式各样的恶意程序传送至访问者的电脑（视访问者所在地理区域而定）。只要有心犯罪，这些工具和方法在网络犯罪地下经济体系当中都随手可得。 Phoenix 漏洞攻击套件

在这个案例中，三个恶意的 iframe 会被植入合法的网站当中。如此会将浏览该网站的访问者导向一个 Bot 网络经营者的外部网站。其中一个 iframe 会偷偷将访问者导向专门散播 Phoenix 漏洞攻击套件的服务器。

这个漏洞攻击套件会判断访问者的操作系统和浏览器版本，然后再攻击特定的漏洞以便在在访问者电脑上执行恶意程序。此攻击涵盖了一些热门套装软件的漏洞，例如：Adobe Flash Player、Adobe Reader 以及 Java。

全部加起来，这个 Phoenix 漏洞攻击套件总共获得了 17,628 位访问者，而且成功入侵了其中 850 位（4.82%）的电脑。这项套件发现，最容易攻击成功的是含有漏洞的 Java 版本。在攻击成功之后，该套件就会在访问者的电脑上植入一个恶意的执行文件（也就是我们侦测到的 TROJ_RENOS.NRT），让电脑连线至另一群完全不同的幕后操控服务器。

与其他套件连结

这个 Phoenix 漏洞攻击套件的访问者几乎都是来自于英国。显然，该 Bot 网络的幕后经营者可能是向其他网络犯罪者购买了来自英国的流量，或者是入侵了某个英国的热门网站。

同一部服务器上也还有其他 Phoenix 漏洞攻击套件复本。在所有案例中（不限于前述讨论的案例），该套件所植入的程序都会连线至同一服务器上的好几个 DLoader 复本。例如，该套件的其他复本共获得了 5,871 位访问者。这些访问者主要来自德国和俄罗斯。其中有 360 位（6.13%）是因为 Java 漏洞攻击而被入侵成功（再次成为榜首）。　

这些植入的恶意程序会强迫使用者电脑连上同一服务器上的多份 DLoader 复本。这些 Phoenix 漏洞攻击套件的复本，就是趋势科技所侦测到的 TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

漏洞攻击与恶意程序植入的合作关系我们在这里只想大家介绍了一部分，在以后的文章中，我们还会继续向大家介绍的，希望大家多多掌握。

【编辑推荐】