近日，Websense的ThreatSeeker網(wǎng)絡(luò)成功檢測(cè)出一起大范圍的網(wǎng)絡(luò)攻擊，并對(duì)其進(jìn)行了有效攔截。此次攻擊活動(dòng)借助震驚全球的波士頓馬拉松爆炸事件，利用人們對(duì)該事件的關(guān)注，進(jìn)行電子郵件傳播，企圖將不知情的收件人引至惡意網(wǎng)站，通過(guò)入侵他們的電腦進(jìn)行犯罪活動(dòng)，獲取巨額利益。

Websense安全專(zhuān)家運(yùn)用高級(jí)威脅的7階段方法對(duì)此次攻擊活動(dòng)進(jìn)行了分析，并詳細(xì)講述了犯罪分子是如何欺騙用戶(hù)并入侵他們的電腦的。同時(shí)，Websense安全專(zhuān)家指出，破壞這7個(gè)階段中的任何一個(gè)環(huán)節(jié)，都可以保護(hù)潛在的受害者。

第1階段：偵察

同其它許多基于熱門(mén)話(huà)題或新聞事件的攻擊活動(dòng)一樣，這次攻擊的目的是要進(jìn)行大范圍的傳播，而非針對(duì)特定個(gè)人或組織。鑒于此，犯罪分子只需選定一個(gè)全球性的新聞事件(例如這次的波士頓馬拉松爆炸案)，然后將他們?cè)O(shè)計(jì)的誘餌發(fā)送給盡可能多的人。

第2階段：誘餌

犯罪分子充分利用了人們的好奇心，特別是重大事件發(fā)生之后，他們精心設(shè)計(jì)的誘餌就是要盡可能多地吸引受害者。Websense安全實(shí)驗(yàn)室在監(jiān)測(cè)此次電子郵件攻擊的過(guò)程中發(fā)現(xiàn)，犯罪分子發(fā)送的電子郵件采用了諸如“最新消息——波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆炸案”、“波士頓馬拉松賽爆炸案視頻”等主題，向收件人明確表示該郵件中包含與爆炸事件相關(guān)的信息或新聞。而且多數(shù)情況下，郵件正文中只有一個(gè)形如http://<IPAddress>/news.html或是http://<IPAddress>/boston.html的簡(jiǎn)單URL，并沒(méi)有更多的細(xì)節(jié)或信息。在這種情況下，收件人就會(huì)無(wú)意識(shí)地點(diǎn)擊惡意鏈接。

第3階段：重定向

在點(diǎn)擊了鏈接之后，不知情的受害者就被犯罪分子引至一個(gè)包含此次爆炸案YouTube視頻的頁(yè)面(如下圖所示，攻擊者會(huì)有意地將具體內(nèi)容模糊化)，與此同時(shí)，他們被iframe重定向到一個(gè)漏洞頁(yè)面。

第4階段：利用漏洞工具包

通過(guò)對(duì)此次攻擊活動(dòng)中出現(xiàn)的一系列惡意URL進(jìn)行的分析，Websense安全專(zhuān)家發(fā)現(xiàn)，犯罪分子使用RedKit漏洞利用工具包，并且利用OracleJava7安全管理器的旁路漏洞，向我們的分析電腦上發(fā)送文件。

第五階段：木馬文件

在此次攻擊活動(dòng)中，犯罪分子并沒(méi)有采用包含惡意代碼并且可以躲過(guò)殺毒軟件檢測(cè)的木馬文件，而是選用了一個(gè)Win32/Waledac家族的下載器，用來(lái)下載更多的惡意二進(jìn)制文件。在此次攻擊中，兩個(gè)名為Win32/Kelihos和Troj/Zbot的僵尸病毒被下載并安裝到被感染電腦上，以便犯罪分子將被感染電腦加入到其僵尸網(wǎng)絡(luò)中。

第六階段：自動(dòng)通報(bào)/第七階段：數(shù)據(jù)竊取

一旦被感染的電腦被網(wǎng)絡(luò)罪犯控制，病毒則進(jìn)行自動(dòng)通報(bào)，被感染電腦就會(huì)發(fā)出遠(yuǎn)程命令，完成數(shù)據(jù)的發(fā)送與接收。對(duì)被感染電腦的常見(jiàn)威脅包括數(shù)據(jù)收集和泄露，如財(cái)務(wù)和個(gè)人信息竊取。其它危害包括發(fā)送未經(jīng)許可的電子郵件或被迫參與分布式拒絕服務(wù)攻擊(DDoS攻擊)。