我們在4月初收到這個新的 PDF Exploit, CVE-2013-0640。這個 Exploit非常特別 ! 因為自從 Adobe 10之後新版改良成 Protected Mode (Sandbox)模式起動後,駭客要做出 PDF Exploit來攻擊 Adobe Reader並不容易,也導致這一年半來PDF樣本在台灣算是很少見的。不過今年的2月初,國外的駭客在我們農曆春節間作出最新的攻擊 Adobe Reader 11,這個惡意文件是用了兩個漏洞結合起來的,分別為 CVE-2013-0640, CVE-2013-0641這是非常高端設計的惡意文件,漏洞的利用非常的複雜。
在今年2月時候也被用在國外的APT攻擊中,當時 Xecure Lab就進行了分析。
http://www.infosecisland.com/blogview/22926-Latest-Adobe-Zero-day-is-Serious-Business.html
這個Exploit在2月當時還是 Zero-Day Exploit, 不過目前已經有修補
苦等了2個月... 我們終於在台灣的實際APT樣本中看到
這個惡意文件被放在 加密的RAR中 Email裡,一樣地,貼心的駭客還附上了密碼。在我們的XecMail 中可以處理各種被加密的email, rar 或是 office檔案,即使要密碼也完全自動化偵測,所以截獲了該樣本。這封信件在VirusTotal上,完全被掃毒軟體 Bypass,全部槓龜。再者加密的RAR本身就可以繞過Sandbox與Anti-Virus,因此也提醒各位要特別注意 !
接著我很懶...剩下交給 XecScan (http://scan.xecure-lab.com) 進行機器人自動化分析 :)
C2 Server 是 ftpdown .narllab .com 提供給各位資安人員參考
XecScan 完整報告如下: (點擊放大)
新版的XecScan提供 API 給各位資安廠商與研究人員做整合,有需要請與我們聯繫! (benson at xecure-lab dot com)
沒有留言:
張貼留言