UDN-企业互联网技术人气社区

板块导航

浏览  : 1325
回复  : 0

[资讯] Windows 0day漏洞 黑客通过字体文件控制用户电脑

[复制链接]
瞌睡虫的头像 楼主
1f7599ad-d58b-49c1-b251-570ace8dd29e.jpg
  

  网络间谍团伙FruityArmor正使用最新的Windows 0day漏洞通过畸形字体文件攻击目标用户电脑。

  该漏洞为CVE-2016-3393,是微软GDI(Graphics Device Interface,图形设备接口)组件中的漏洞,攻击者能够利用该漏洞在受影响的设备上运行代码,控制用户的操作系统。

  微软10月11号修复了该漏洞,安全补丁为MS16-120。该漏洞由卡巴斯基研究人员在发现攻击活动中发现。

  卡巴斯基新技术率先发现0 day漏洞

  通过卡巴斯基研究人员Anton Ivanov了解到,此次漏洞的发现要归功于部署于他们软件中的一组新技术。

  利用同样的技术,卡巴斯基还发现了另外三个0day漏洞,都是关于Adobe的Flash播放器的:CVE-2016-0165、 CVE-2016-1010、 CVE-2016-4171。

  通过浏览器提供0day漏洞链

  卡巴基斯专家表示FruityArmor团伙通过诱骗用户访问一个恶意网站攻击目标,该恶意网站包含有基于浏览器的漏洞。如果初始的浏览器漏洞利用成功,攻击将继续利用CVE-2016-3393漏洞。

  随后以模块的形式直接运行在内存中。模块的主要目的是打包一个含有CVE-2016-3393漏洞的特制TTF字体。打包后,在AddFontMemResourceEx的帮助下,该模块从内存中直接加载代码。成功利用CVE-2016-3393后,第二阶段以更高权限运行一个PowerShell脚本,与C&C服务器进行联系。

  至于FruityArmor APT,卡巴基斯表示该团伙因迷恋使用PowerShell区别于其他网络间谍组织。

  FruityArmor仅使用基于PowerShell的恶意软件,甚至恶意软件收到的命令也是PowerShell脚本的形式。

来源:e安全

相关帖子

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部