Kampanye spam yang paling terbaru memanfaatkan ledakan Boston Marathon tidak ada yang luar biasa. Namun, Trend Micro ahli telah mengidentifikasi satu serangan yang ditargetkan yang layak disebut. Semuanya dimulai dengan sebuah email berjudul "Tolong berdoa bagi Boston."
Email tersebut berbunyi seperti ini: "Dua bom berkekuatan besar meledak di dekat garis finish maraton Boston pada Senin sore, menewaskan sedikitnya tiga orang, termasuk seorang anak, dan melukai setidaknya 100 sebagai salah satu ritual yang paling dihargai di kota itu musim semi berubah dari sebuah adegan sorakan untuk kemenangan berkeringat ke salah satu krim, pembantaian berdarah dan kematian. "
Terlampir ke email ini merupakan dokumen Word tampaknya tidak berbahaya. Ketika dibuka, dokumen mengeksploitasi kerentanan (yang telah diperbaiki oleh Microsoft satu tahun yang lalu) untuk menjatuhkan file eksekusi terdeteksi oleh Trend Micro sebagai Troj_Naikon.A.
Ancaman ini dirancang untuk menghubungkan ke komando dan kontrol server melalui SSL. Sertifikat digital yang digunakan dalam serangan itu diisi dengan informasi palsu, seperti "abc" untuk nama organisasi.
Penggunaan SSL memastikan bahwa lalu lintas yang dikirim antara malware dan yang C & C dienkripsi, meningkatkan peluang untuk menghindari terdeteksi oleh solusi keamanan. Namun, dalam kasus ini, lalu lintas teks biasa berisi "User-Agent" yang mudah untuk mengidentifikasi.
Perintah dan kontrol server yang bersangkutan telah digunakan di masa lalu oleh keluarga lain malware, yang aktif pada tahun 2011. Namun, mengingat bahwa beberapa waktu telah berlalu sejak, para ahli mengatakan tidak jelas apakah ada hubungan antara keduanya.
"Penggunaan enkripsi SSL untuk berkomunikasi dengan C & C memiliki kelebihan, terutama dalam menghindari deteksi berdasarkan pola dalam parameter URL dan header HTTP," kata Trend Micro Senior Ancaman Peneliti Nart Villeneuve.
"Namun, langkah-langkah proaktif tertentu dapat dilakukan, termasuk mencari default, nilai acak atau kosong di bidang sertifikat SSL dan membatasi deteksi untuk sertifikat yang disediakan oleh jaringan eksternal."
Email tersebut berbunyi seperti ini: "Dua bom berkekuatan besar meledak di dekat garis finish maraton Boston pada Senin sore, menewaskan sedikitnya tiga orang, termasuk seorang anak, dan melukai setidaknya 100 sebagai salah satu ritual yang paling dihargai di kota itu musim semi berubah dari sebuah adegan sorakan untuk kemenangan berkeringat ke salah satu krim, pembantaian berdarah dan kematian. "
Terlampir ke email ini merupakan dokumen Word tampaknya tidak berbahaya. Ketika dibuka, dokumen mengeksploitasi kerentanan (yang telah diperbaiki oleh Microsoft satu tahun yang lalu) untuk menjatuhkan file eksekusi terdeteksi oleh Trend Micro sebagai Troj_Naikon.A.
Ancaman ini dirancang untuk menghubungkan ke komando dan kontrol server melalui SSL. Sertifikat digital yang digunakan dalam serangan itu diisi dengan informasi palsu, seperti "abc" untuk nama organisasi.
Penggunaan SSL memastikan bahwa lalu lintas yang dikirim antara malware dan yang C & C dienkripsi, meningkatkan peluang untuk menghindari terdeteksi oleh solusi keamanan. Namun, dalam kasus ini, lalu lintas teks biasa berisi "User-Agent" yang mudah untuk mengidentifikasi.
Perintah dan kontrol server yang bersangkutan telah digunakan di masa lalu oleh keluarga lain malware, yang aktif pada tahun 2011. Namun, mengingat bahwa beberapa waktu telah berlalu sejak, para ahli mengatakan tidak jelas apakah ada hubungan antara keduanya.
"Penggunaan enkripsi SSL untuk berkomunikasi dengan C & C memiliki kelebihan, terutama dalam menghindari deteksi berdasarkan pola dalam parameter URL dan header HTTP," kata Trend Micro Senior Ancaman Peneliti Nart Villeneuve.
"Namun, langkah-langkah proaktif tertentu dapat dilakukan, termasuk mencari default, nilai acak atau kosong di bidang sertifikat SSL dan membatasi deteksi untuk sertifikat yang disediakan oleh jaringan eksternal."
0komentar:
Post a Comment