De siste ukene har vi sett en økning i antall angrep som forsøker å utnytte en kjent sårbarhet i Adobe Acrobat og Adobe Acrobat Reader versjon 8.1.1 og tidligere.
Svakheten ligger i en funksjon som heter Collab.collectEmailInfo() og kan misbrukes ved å legge ondsinnet javascript-kode i PDF-dokumentet. Dersom en bruker åpner et slikt PDF-dokument med en sårbar versjon av Acrobat Reader, enten ved å åpne dokumentet manuelt eller ved at nettleseren åpner dokumentet automatisk vha plugin/extension til nettleseren, eksekveres ondsinnet kode som typisk laster ned og kjører trojanere.
Siste versjon av Adobe Acrobat og Adobe Acrobat Reader, versjon 8.1.2, er ikke sårbar for dette angrepet.
For mer teknisk info og analyse av exploits i PDF-dokumenter, se Analysing malicious PDF documents and shellcode på bloggen til Norwegian Honeynet Project.
El Fiesta
Noe av grunnen til at vi (og flere) har sett denne økningen av PDF-exploits er på grunn av at populære exploit toolkits nå har fått inkludert kode som utnytter nettopp denne svakheten.
I de fleste tilfellene vi har sett har brukeren blitt utsatt for exploits fra "El Fiesta"-toolkit'et.
Dette toolkit'et har en rekke exploits tilgjengelig, og brukeren kan bli utsatt for exploits rettet mot følgende produkter/svakheter:
MDAC (MS06-014)
Snapshot Viewer (MS08-041)
Sina DLoader
Acrobat PDF
WebViewFolderIcon (MS06-057)
Msdss.dll (MS05-052)
Creative Software AutoUpdate Engine
Microsoft Works Image Server (WkImgSrv.dll)
Ourgame 'GLIEDown2.dll'
CA BrightStor ARCserve Backup (AddColumn)
SuperBuddy
GomWebCtrl
Msxml2.XMLHTTP (MS06-071)
QuickTime
RealPlayer
NCTsoft Control
DirectAnimation PathControl
Bildet over viser en statistikk-side for "El Fiesta"-installasjonen.
Litt interessant er det å finne "NO" på topp 10-listen over antall besøk. Statistikken viser også at nesten èn av ti brukere fra Norge som blir utsatt for angrepene blir infisert.
Hva skjer ved et vellykket angrep?
Dersom brukeren er sårbar for noen av angrepene over blir det i dette tilfellet lastet ned og eksekvert en variant av Zbot-trojaneren (også kjent som Prg/Wsnpoem). Zbot er en trojaner som er designet til å stjele bankinformasjon og generelt sensitive data som brukernavn/passord fra kjente nettsteder som MySpace, osv.
Tidligere har denne typen trojanere blitt spredt hovedsaklig gjennom e-post med vedlegg (spam relatert til UPS, eTickets, mm).
Skuffende antivirus-dekning
Dessverre har det blitt svært vanskelig for AV-industrien å holde følge med det økende antall malware som spres. Resultat fra VirusTotal viser at kun 1/36 AV-produkter detekterer trojaneren som mistenkelig:
Tekniske detaljer
Følgende domener/ip'er er involvert i angrepet:
masonfl.com (208.179.82.130, TIERZERO-AS11509 - Tierzero, US)
gendistr.org.uk (91.142.64.87, OnePacket Networks Inc., NL)
domain15.net (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain6.org (193.27.246.240, DANKON-AS Dankon Ltd., RU)
domain12.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)
domain20.net (193.27.246.239, DANKON-AS Dankon Ltd., RU)
masonfl.com er domenet som blir lagt inn på kompromitterte nettsteder. Denne redirecter brukeren videre til gendistr.org.uk som igjen redirecter brukeren til domain15.net.
domain15.net hoster exploits og trojaner, og trojaneren kontakter domain6.org, domain20.net og domain12.net for oppdatering, rapportering og mottak av konfigurasjon.
masonfl.com, gendistr.org.uk og domain15.net er gode kandidater for blokkering i brannmur og/eller proxy, og det anbefales å logge og blokkere trafikk mot domain6.org, domain12.net og domain20.net for å finne eventuelle infiserte klienter.
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
søndag 28. september 2008
Økning i angrep mot Acrobat Reader
Abonner på:
Legg inn kommentarer (Atom)
Ingen kommentarer:
Legg inn en kommentar