安全专家建议:警惕蓄意拼写错误的域名陷阱
|
热
|
|
| 安全专家建议:警惕蓄意拼写错误的域名陷阱 |
| [
作者:佚名 转贴自:比特网 点击数:256 更新时间:2012-12-3 文章录入:pecker
] |
近日,Websense安全实验室的专家在ThreatSeeker Network监测的结果中发现了一个不同寻常的域名“inte1sat.com”。该域名刻意用阿拉伯数字“1”代替小写的英文字母“l”,以混淆人们的视线,使用户落入陷阱。
通过初步分析“inte1sat.com”域名下的内容,专家们发现了可疑文件exploit.jar。
安全专家们对攻击者采取的这种伪装手段很感兴趣。通过谷歌搜索,他们发现正确拼写的域名“intelsat.com”其实是一家卫星通信公司的官方网站,这是一家以卫星通信运营为核心业务的公司,为客户提供如IP Trunking、电子通讯等服务。
而通过谷歌搜索“inte1sat.com”,显示的结果为一个存储在美国联邦通信委员会(FCC)的Web站点上的PDF文档。 FCC是一家协调美国各州之间的无线电、电视、有线、卫星及同轴电缆等网络的大型机构,影响力甚至覆盖到南美洲的哥伦比亚特区。
但是,当安全专家对这份可公开访问的可疑PDF文档进行内容搜索后,竟然没有发现任何“inte1sat”的字样。我们可以大胆猜测,该文档在通过谷歌的OCR算法扫描或传真后上传到网络时,OCR算法对英文字母“l”的识别产生了错误。尽管这个解释不是不可能,但我们还是决定从一切的源头展开调查,找出具体原因。Websense安全实验室在图形化环境下对先前“inte1sat.com”域名下的可疑Java包进行了进一步的分析,这时,专家们发现了其中被植入的CVE-2012-4681漏洞攻击包。该攻击包会不断生成并抛出异常,以此劫持Java Security Manager类,并发动后续攻击。
当这个漏洞攻击包成功执行后,就会自动下载并运行一个名为“IrFKDDEW.exe”的二进制恶意软件,并嵌入jar包中,进而在用户的系统中开启后门。通过流量追踪,可以发现该恶意软件不断尝试向某IP地址发起连接请求。而其实早在2012年7月9日,这个IP地址所指向的站点就已经被Websense的Virustotal鉴定为恶意站点。
Websense的安全专家继续对“inte1sat.com”进行更深入的解析,发现域名背后其实是一系列的IP地址池,这些IP地址上还挂载着其他疑似可能通过蓄意拼写错误尝试攻击的备用域名,只是目前尚未被激活启用。
尽管专家们目前还不能证实这是否是谷歌的问题,让“拼写错误”的文件信息与FCC这样的大机构一同出现在搜索结果首页中。但可以肯定的是,黑客们将继续寻找这样的可趁之机,通过蓄意拼写错误的攻击手段来扩散漏洞攻击包,损害用户利益。 |
|
|
|
| 免责声明:本文仅代表作者个人观点,与Pecker's Home无关。登载目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字和图片(或其他媒体形式内容)的真实性、完整性、及时性本站不作任何保证或承诺。请读者仅作参考,并请自行核实相关内容。如果有侵犯版权事宜,请通知master@peckerhome.com,我们将在第一时间删除该信息。
|
|
|
|
|
|
| 【发表评论】【告诉好友】【打印此文】【关闭窗口】 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)