dodany: 01.03.2013 | tagi: , ,

Autor:

Powiązanie zero-day Javy z wpadką Bit9

0

Pamiętacie ostatnią wpadkę firmy Bit9? Zgadnijcie co  wykorzystano w najnowszym błędzie zero-day Javy. Wszystko to powiązano z luką opisaną pod CVE-2013-1493. W rezultacie tego błędu możliwe jest wykonanie dowolnego kodu – w tym celu podrzucany jest trojan.Naid (nazwa zdefiniowana przez Symanteca). Jest on zawarty w złośliwej bibliotece DLL. W następstwie jego działania zainfekowana maszyna nawiązywała komunikację z serwerem Command-and-control (C&C), który był zlokalizowany pod adresem IP 110.173.55.187.

Jak się okazało owy trojan został podpisany wykradzionym certyfikatem od Bit9. Na poniższej grafice przedstawiono schemat działania:

 

symantec Bit 9

Atak rozpoczyna się odwiedzeniem strony z złośliwym plikiem JAR, który został ochrzczony przez Symanteca jako Trojan.Maljava.B. Złośliwiec ten wykorzystuje lukę opisaną w/w CVE-2013-1493. Jeśli inicjalizacja trojana się powiedzie, to następnie jest pobierany plik svchost.jpg, który w rzeczywistości jest dropperem. W rezultacie jego działania na komputerze umieszczana jest złośliwa biblioteka appmgmt.dll, która zawiera właśnie owego trojana Naid.

Ten sam rodzaj ataku stwierdziła firma FireEye – badacze zauważyli, że problem ten występuje w przypadku Javy v1.6 z aktualizacją nr 41 i Javą v1.7 z aktualizacją nr 15.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *