黄金搭档:安全研究人员发现Flash 0day漏洞与BEDEP病毒存在密切关联
2015年伊始,Adobe Flash相继爆出多个 0day 漏洞,且在尚未修复之时就遭到 大规模恶意利用 。最近趋势科技的安全研究人员在对Adobe 0day漏洞的跟踪调查中,发现了BEDEP系列病毒与Adobe Flash 0day漏洞存在密切关联。
多次使用BEDEP病毒
Flash 0day漏洞已经不止一次使用BEDEP病毒作为其攻击负载(Payload)了。 1月末,我们发现了一个Flash 0day漏洞,这个漏洞会在被感染的电脑上下载BEDEP病毒进行更深层次的入侵。而在最新的漏洞(CVE-2015-0313)中也同样使用了BEDEP病毒。
感染过程
根据我们的分析,感染过程始于一些存在恶意广告的网站。通常情况下,用户要去点击恶意广告,才会感染病毒。不过在这个案例中,用户无需做任何事,因为这个网站已经被黑了(网站被挂上了木马)。
一旦用户访问网站,恶意广告就会自动将他们重定向到一个"Hanjuan漏洞工具包"的页面。这个页面会执行Flash 0day漏洞利用程序(SWF_EXPLOIT.MJST),然后下载执行两个经过编码的攻击Payload,分别是BKDR64_BEDEP.E和TROJ64_BEDEP.B。
FreeBuf小科普:对Payload进行编码是躲避检测的一种常见手段,经过编码的payload通过网络层传输的时候很难检测或者扫描。
BEDEP家族史
我们注意到2015年第一周,感染BEDEP家族病毒的数量开始增加。主要的感染者来自美国,其次是日本。
BEDEP最初并没有被检测出来,因为它经过了复杂的加密,并且使用了微软的文件属性伪装自己。我们最近的调查结果也显示,这款恶意软件的主要目的是感染系统,使其成为僵尸网络中的肉鸡,以用作其他用途。
由于BEDEP所采用的高强度加密,在检测这款病毒时可能会遇到困难。但幸运的是,病毒的文件结构和属性都可以被用来识别病毒。
下面就是病毒用于伪装的文件属性:
BEDEP的导出函数使用一些随机的单词,使它看起来正常。但是细看之下,这些词语根本没有任何含义。另外,我们注意到BEDEP的文件结构与VAWTRAK的非常相似。
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
