利用先前安全研究員揭露的合法”/Launch”指令，搭配社交工程手法的攻擊出現(xiàn)了，攻擊者將之用來傳遞Zeus惡意程序

重 點

◆ 運用PDF的”/Launch”功能的攻擊手法出現(xiàn)

◆ 攻擊者使用此手法散布惡意程序Zeus

上周國外媒體報導了安全研究員Dider Stevens和Jeremy Conway揭露了利用PDF合法漏洞的攻擊手法，將可能成為未來PDF安全上的一大威脅。果不其然，現(xiàn)在利用此一手法的攻擊已經(jīng)出現(xiàn)了。

安全廠商Websense的負責人Dan Hubbard，日前公開發(fā)表了他發(fā)現(xiàn)黑客開始利用”/Launch”指令，透過合法的方式搭配社交工程掩護，攻擊使用者的事件。其手法正好和安全研究員Dider Stevens和Jeremy Conway所揭露的方式如出一轍。

用PDF合法的指令，誘騙使用者打開惡意程序

兩位安全研究員所揭露的手法是這樣的，3月底，Dider Stevens證實了，可以透過PDF合法的”/Launch”指令，讓PDF文件在開啟的時候，自動去執(zhí)行任何應用程序。雖然多數(shù)的PDF閱讀軟件，都會跳出警告，但是警告的文字內(nèi)容，也可以被攻擊者更改，這使得攻擊者可以透過社交工程的方式，誘騙使用者打開應用程序。

而隨后4月初，Jeremy Conway利用這個方法，證明了攻擊者可以透過被植入”/Launch”指令程序代碼的PDF文件，讓另一個健康的PDF文件被植入程序代碼，并且在PDF閱讀軟件沒有允許Java Script可以執(zhí)行的狀況下，讓使用者只要點擊被植入了程序代碼的PDF文件，并且在被社交工程手法誘騙去點選開啟程序的狀況下，就自動連線到攻擊者指定的網(wǎng)站。這和過去透過PDF夾帶Java Script的手法完全不同，可以利用完全合法的手段讓使用者連上惡意網(wǎng)站。因為是合法的手段，這代表著在這過程中，幾乎沒有任何殺毒軟件會發(fā)出警告。

散播的惡意程序為Zeus，是首次用此一手法的攻擊

現(xiàn)在，根據(jù)Dan Hubbard所發(fā)表的內(nèi)容，網(wǎng)絡上已經(jīng)有攻擊者開始利用這個手法，散布知名的僵尸網(wǎng)絡惡意程序Zeus的變種。據(jù)了解，攻擊者會寄送一封夾帶有Royal_Mail_Delivery_Notice.PDF文件的電子郵件，然后只要使用者執(zhí)行此一PDF文件，并且允許后續(xù)動作的話，就會像在使用者的電腦中植入惡意程序Zeus。這是目前首個被發(fā)現(xiàn)利用此一手法攻擊的惡意程序。不過此一手法最終還是利用Java Script來連外道惡意網(wǎng)站植入惡意程序，也沒有透過社交工程的手法去修改警告方塊的文字，誘騙使用者允許后續(xù)動作，所以還沒有像前述手法那樣高明，只要使用者關閉了Java Script執(zhí)行的功能就可以避免危險。

Zeus是一個惡名昭彰的惡意程序，擁有許多變種，被感染的電腦就會被攻擊者利用，成為僵尸電腦。由于不易被發(fā)現(xiàn)，Zeus已經(jīng)是目前在美國肆虐最嚴重的惡意程序之一，根據(jù)非正式的估計，光在美國目前就約有360萬臺電腦已經(jīng)感染了此一惡意程序的各種變種。先前由華爾街日報揭露的僵尸網(wǎng)絡”Kneber”，也是使用Zeus做為攻擊的程序。

Adobe的軟件是目前最多人使用的PDF閱讀軟件，不過針對這個利用PDF閱讀軟件合法功能的漏洞，Adobe目前還沒有將其完全根絕，先前推出大規(guī)模更新，也沒有針對此一手法做出修正，取而代之的是要求使用者關閉PDF閱讀軟件中，開啟第三方應用程序的功能，藉此阻擋”/Launch”功能。

企業(yè)的IT管理者，如果想要避免這個問題，目前除了上述關閉PDF閱讀軟件的部分功能外，還必須搭配閘道端的掃描。

【編輯推薦】

1. 黑客曝入侵PDF新方法
2. 企業(yè)更需注意蠕蟲攻擊恐借PDF文件傳播