近日，Websense的ThreatSeeker網(wǎng)絡成功檢測出一起大范圍的網(wǎng)絡攻擊，并對其進行了有效攔截。此次攻擊活動借助震驚全球的波士頓馬拉松爆炸事件，利用人們對該事件的關注，進行電子郵件傳播，企圖將不知情的收件人引至惡意網(wǎng)站，通過入侵他們的電腦進行犯罪活動，獲取巨額利益。

Websense安全專家運用高級威脅的7階段方法對此次攻擊活動進行了分析，并詳細講述了犯罪分子是如何欺騙用戶并入侵他們的電腦的。同時，Websense安全專家指出，破壞這7個階段中的任何一個環(huán)節(jié)，都可以保護潛在的受害者。

第1階段：偵察

同其它許多基于熱門話題或新聞事件的攻擊活動一樣，這次攻擊的目的是要進行大范圍的傳播，而非針對特定個人或組織。鑒于此，犯罪分子只需選定一個全球性的新聞事件(例如這次的波士頓馬拉松爆炸案)，然后將他們設計的誘餌發(fā)送給盡可能多的人。

第2階段：誘餌

犯罪分子充分利用了人們的好奇心，特別是重大事件發(fā)生之后，他們精心設計的誘餌就是要盡可能多地吸引受害者。Websense安全實驗室在監(jiān)測此次電子郵件攻擊的過程中發(fā)現(xiàn)，犯罪分子發(fā)送的電子郵件采用了諸如“最新消息——波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆炸案視頻”等主題，向收件人明確表示該郵件中包含與爆炸事件相關的信息或新聞。而且多數(shù)情況下，郵件正文中只有一個形如http://<IPAddress>/news.html或是http://<IPAddress>/boston.html的簡單URL，并沒有更多的細節(jié)或信息。在這種情況下，收件人就會無意識地點擊惡意鏈接。

第3階段：重定向

在點擊了鏈接之后，不知情的受害者就被犯罪分子引至一個包含此次爆炸案YouTube視頻的頁面(如下圖所示，攻擊者會有意地將具體內(nèi)容模糊化)，與此同時，他們被iframe重定向到一個漏洞頁面。

第4階段：利用漏洞工具包

通過對此次攻擊活動中出現(xiàn)的一系列惡意URL進行的分析，Websense安全專家發(fā)現(xiàn)，犯罪分子使用RedKit漏洞利用工具包，并且利用OracleJava7安全管理器的旁路漏洞，向我們的分析電腦上發(fā)送文件。

第五階段：木馬文件

在此次攻擊活動中，犯罪分子并沒有采用包含惡意代碼并且可以躲過殺毒軟件檢測的木馬文件，而是選用了一個Win32/Waledac家族的下載器，用來下載更多的惡意二進制文件。在此次攻擊中，兩個名為Win32/Kelihos和Troj/Zbot的僵尸病毒被下載并安裝到被感染電腦上，以便犯罪分子將被感染電腦加入到其僵尸網(wǎng)絡中。

第六階段：自動通報/第七階段：數(shù)據(jù)竊取

一旦被感染的電腦被網(wǎng)絡罪犯控制，病毒則進行自動通報，被感染電腦就會發(fā)出遠程命令，完成數(shù)據(jù)的發(fā)送與接收。對被感染電腦的常見威脅包括數(shù)據(jù)收集和泄露，如財務和個人信息竊取。其它危害包括發(fā)送未經(jīng)許可的電子郵件或被迫參與分布式拒絕服務攻擊(DDoS攻擊)。