解構高級威脅的7個階段

　　Websense(NASDAQ: WBSN)的ThreatSeeker網絡日前成功檢測出一起大范圍的網絡攻擊，並對其進行了有效攔截。此次攻擊活動借助震驚全球的波士頓馬拉松爆炸事 件，利用人們對該事件的關注，進行電子郵件傳播，企圖將不知情的收件人引至惡意網站，通過入侵他們的電腦進行犯罪活動，獲取巨額利益。

　　Websense安全專家運用高級威脅的7階段方法對此次攻擊活動進行了分析，並詳細講述了犯罪分子是如何欺騙用戶並入侵他們的電腦的。同時，Websense安全專家指出，破壞這7個階段中的任何一個環節，都可以保護潛在的受害者。

　　第1階段：偵察

　　同其它許多基於熱門話題或新聞事件的攻擊活動一樣，這次攻擊的目的是要進行大范圍的傳播，而非針對特定個人或組織。鑒於此，犯罪分子只需選定一個全球性的新聞事件(例如這次的波士頓馬拉松爆炸案)，然後將他們設計的誘餌發送給盡可能多的人。

　　第2階段：誘餌

　　犯罪分子充分利用了人們的好奇心，特別是重大事件發生之後，他們精心設計的誘餌就是要盡可能多地吸引受害者。Websense安全實驗室在監測 此次電子郵件攻擊的過程中發現，犯罪分子發送的電子郵件采用了諸如“最新消息——波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆 炸案視頻”等主題，向收件人明確表示該郵件中包含與爆炸事件相關的信息或新聞。而且多數情況下，郵件正文中只有一個形如的簡單URL，並沒有更多的細節或 信息。在這種情況下，收件人就會無意識地點擊惡意鏈接。

　　第3階段：重定向

　　在點擊了鏈接之後，不知情的受害者就被犯罪分子引至一個包含此次爆炸案YouTube視頻的頁面(如下圖所示，攻擊者會有意地將具體內容模糊化)，與此同時，他們被iframe重定向到一個漏洞頁面。

　　第4階段：利用漏洞工具包

　　通過對此次攻擊活動中出現的一系列惡意URL進行的分析，Websense安全專家發現，犯罪分子使用RedKit漏洞利用工具包，並且利用Oracle Java 7安全管理器的旁路漏洞，向我們的分析電腦上發送文件。

　　第五階段：木馬文件

　　在此次攻擊活動中，犯罪分子並沒有采用包含惡意代碼並且可以躲過殺毒軟件檢測的木馬文件，而是選用了一個Win32/Waledac家族的下載器，用來下載更多的惡意二進制文件。在此次攻擊中，兩個名為Win32/Kelihos和Troj/Zbot的僵屍病毒被下載並安裝到被感染電腦上，以便犯罪分子將被感染電腦加入到其僵屍網絡中。

　　第六階段：自動通報 / 第七階段：數據竊取

　　一旦被感染的電腦被網絡罪犯控制，病毒則進行自動通報，被感染電腦就會發出遠程命令，完成數據的發送與接收。對被感染電腦的常見威脅包括數據收集和洩露，如財務和個人信息竊取。其它危害包括發送未經許可的電子郵件或被迫參與分布式拒絕服務攻擊(DDoS攻擊)。

　　Websense安全專家指出，Websense高級分類引擎(ACE )可以幫助用戶對抗這種類型的網絡威脅。Websense ACE可以在犯罪分子發出的誘餌到達終端用戶之前將其攔截，即使用戶點擊了惡意鏈接，對惡意地址的訪問也將被拒絕。不僅如此，通過與數據洩露控制整 合，Websense ACE還可以幫助用戶防御數據竊取，確保數據安全無虞。