最近,一些常用的软件和网站或计算机中的病毒事件引起了很多人的注意。原本认为只要不浏览不健康的网站,就不会被招募的人现在开始犹豫是否安装安全软件
I.由CVE-2014-6332引起的血案。
去年年底,360安全中心的监控发现,已经平静了一段时间的网页挂马数量急剧增加,相关恶意软件的传播量也开始急剧增加,造成的大量特洛伊木马攻击案件不断出现。360网页保护也在快速更新,动态拦截了大量的马攻击,并拦截了大量的马网站访问。
经分析,发现大量挂马攻击主要来自漏洞-CVE-2014-6332。由于这个漏洞影响广泛,在微软XP停止服务后公布,XP下没有相应的官方补丁,导致漏洞被广泛使用。
网上公开使用代码节选:
页面代码节选已被用于传播木马:
攻击者使用在线公共测试代码将其修改为木马传输代码。通过黑站、广告链等方式大规模传播,导致木马广泛传播。
II.6332再临。
就在各大浏览器纷纷修复漏洞,做好安全防护工作后,漏洞利用代码悄悄移植到程序内置的广告页面。由于大量播放器嵌入IE浏览器内核进行广告显示,受到漏洞的影响,导致新一波漏洞攻击事件。也造成了很大的影响。以下是播放器之前挂马的yesimck攻击拦截:
III.0day和Nday。
0day(零日)漏洞是制造商未发布修复补丁的漏洞。Nday是制造商发布补丁的漏洞。由于时间、习惯、安全意识等原因,许多人没有补丁。
这是一个隐藏的危险:作为一名安全研究人员或爱好者,如果你掌握了0day漏洞的使用代码,绝大多数人仍然有意识地不披露这个使用代码(无论是行业自律还是商业利益)。因此,这一漏洞对公众的安全危害也是有限的。
然而,Nday完全不同。修复漏洞后,许多漏洞将被公开或分析。公共漏洞可以在互联网上找到。使用代码或使用方法。。一旦修复不及时,虽然漏洞使用代码不再像0day时那样是一种秘密武器,但它已成为一种大规模杀伤性武器。
以上CVE-2014-6332漏洞是Nday漏洞利用造成的大规模木马爆发问题。
IV.flash挂马死灰复燃。
6332爆发后不久,我们将客户端软件添加到6332漏洞拦截的范围内。攻击者开始尝试使用几个flash漏洞来悬挂马,这影响了国内几个播放器和系统恢复软件。由于这些漏洞被有效拦截,这波悬挂攻击很快就被压制了。
V.CVE-2015-5122再次波澜。
就在CVE-2014-6332漏洞风波折腾了一年,还没有平息。CVE-2015-5122漏洞的使用代码再次公开,因为Hackingteam被攻破。
利用教程(节选)很快在网上出现漏洞:
随着漏洞使用代码和方法的披露,我们还监控了大量利用漏洞传播恶意软件的网站。
360拦截此类挂马站:
60网盾拦截漏洞攻击:
flash
就像两颗豌豆一样,它也捕捉到了大量利用漏洞使用代码的样本——使用代码与在线发布的代码非常相似,甚至混淆完全相同:
在Adobe发布官方修复补丁后,漏洞仍在使用。10月中旬,随着一个广告联盟推广了几个带漏洞的广告,漏洞又开始大规模爆发。
CVE-2015-5122漏洞挂马页面:
ly1
漏洞最近一周的拦截分布:
通过拦截挂马网站和联盟,迫使联盟下线flash带漏洞的广告,木马的传播量开始大幅下降。
VI.谈谈补丁和安全软件的重要性。
从去年的CVE-2014-6332到今年的CVE-2015-5122。由于不同的原因,不同的产品,但两个Nday漏洞使用攻击事件的结果相似。通过在线披露的漏洞使用代码,攻击者可以以低成本拥有重武器,突然将软件漏洞一词拉到与我们日常网络生活密切相关的位置。
一些计算机城市企业会出于自身的商业利益(有些只是害怕麻烦),向大多数小白人用户灌输一些扭曲的理论——补丁是无用的,会减缓系统,防病毒软件是无用的,会卡系统吗?。甚至我们周围的一些计算机大师也会说你看,我没有假装杀死软裸奔,几年没有中毒,只要我通常养成良好的互联网习惯,不是凌乱的网站,就不会中毒。——这句金玉良言仍在我耳边,叹息。
补丁的作用是从源头上从根本上消除之前版本程序中存在的问题,消除存在的软件漏洞。良好的上网习惯很重要,但第三方广告、网络劫持、ARP攻击等风险的存在,即使网站/软件本身不作恶,也很难保证用户在浏览和使用软件时的安全。特别是在网络劫持的情况下,即使用户不打开任何网站,只要他们打开电脑到网络,他们也可能会被抓住。
即使你能及时更新软件安装补丁,仍然有无处不在的恶意软件恶意代码。一个可靠的安全软件,作为计算机的保护者,可以帮助你抵御大多数情况下的特洛伊木马漏洞攻击,防止恶意软件的传播。特洛伊木马面向公众的目的是盈利,而不是展示它的存在。注意不中毒,不知道自己中毒,从来都不是一个概念!