【IT专家网独家】赛门铁克近日称,黑客劫持了互联网广告公司24/7 Real Media运行的一台服务器,并且利用这台服务器向合法网站嵌入携带攻击代码的广告。
赛门铁克表示,访问带攻击广告网站的Windows用户如果使用微软的IE浏览器或者在电脑中安装了RealPlayer媒体播放器软件就可能受到感染。这是恶意软件首次把一家主要提供的互联网广告的公司作为传播恶意软件的载体。
有报道称,RealPlayer和IE浏览器中的安全漏洞能够被利用感染Windows计算机。赛门铁克研究人员Aaron Adams、Raymond Ball和Anthony Roe利用一家被攻击公司的蜜罐系统跟踪攻击行为,一直检测到24/7 Real Media公司的服务器。虽然赛门铁克没有推测这台服务器是如何被攻破的,但赛门铁克详细介绍了这个攻击的进程。
在攻击者进入服务器之后,这些攻击者向服务器增加一个代码,以便向每一个广告嵌入一个IFrame(内嵌框架)。这个看不见的IFrame包含一些指令,把提供这个广告的任何浏览器重新引导到另一个非授权的地址。换句话说,访问理论上可信赖网站的用户可能会被秘密地引导到恶意网站。
恶意网站会通过自动脚本检测用户的计算机是否存在未修复的RealPlayer播放器安全漏洞,然后再发动攻击。这个脚本首先测试浏览器提供的用户代理以确定这个浏览器的版本是IE 6或者7,系统是NT 5.1(Windows XP)还是NT 5.0(Windows 2000)。第二个嗅探测试是识别有漏洞的电脑中的RealPlayer的版本。
如果这台计算机符合攻击规则,第二个利用安全漏洞的脚本便开始执行。这个脚本将向用户PC下载和安装一个木马程序。这个木马程序是“Zonebac”的一个变体。分析师称,这个木马程序是去年首次发现的。它能够关闭许多安全软件和较低版本IE浏览器的安全设置,并能从许多网站提取信息。
赛门铁克的三位研究人员称,这个利用安全漏洞代码最有趣的是托管它的地方。攻破一台广告服务器能够极大提高这个攻击的有效性。这种攻击之所以有效是因为它允许攻击者把目标对准正在浏览可信赖的或者知名网站的受害者。
在赛门铁克监视的一个具体攻击中,为求职网站Monster.com提供的广告被放在了Tripod.com托管的网站上。引发突破DeepSight公司蜜罐的一个Tripod.com网站是“xxxxxxxxx.tripod.com”。这个网站页面包含一个脚本,这个脚本装载被修改的恶意广告,然后再装载这个利用安全漏洞的代码。为了强调攻击的严重性,他们嵌入这个广告脚本,并且至少要调用每一个Tripod.com用户的网页。
Tripod.com把广告放在根据自己免费计划托管的网站上。然而,支付托管费的用户在自己的网站的网页上没有这种广告。
目前还不清楚被提供包含IFrame的广告的网站是不是只有Tripod.com网站。不过,有迹象表明,Tripod.com并不是唯一被感染的域名。例如,美国航天局上周三向员工发出警告称,对运行IE和RealPlayer软件的PC实施的攻击正在增长。
由于24/7 Real Media公司的广告研究非常重要,被IFrame感染的广告可能已经放在了许多网站上。据互联网用户测量公司comScore最近发布的数据显示,24/7的广告上个月占全部美国在线广告的50%。这家公司的广告覆盖率使其在comScore公布的9月份50大在线广告商中排名第十五位。
赛门铁克不能确定这种攻击开始的日期。但是,赛门铁克指出,托管利用安全漏洞代码的这个恶意网站至少在10月8日就出现了。安全研究人员称,这个IP地址可能被同一伙攻击者控制了很长时间,他们正在使用这个网站进行大量的低调攻击。
上周五晚上,RealNetworks发布了RealPlayer 10.5和RealPlayer 11测试版的补丁,并且敦促早期版本的用户首先升级到10.5版或者11测试版,然后再使用补丁。RealNetworks在安全公告中称,只有Windows版本的RealPlayer有安全漏洞,Mac和Linux版本没有风险。
IT专家网原创文章,未经许可,严禁转载!
