近日，借助于Websense ThreatSeeker?智能云的帮助，Websense?安全实验室?的研究人员成功检测到一起恶意电子邮件攻击事件，在此次攻击事件中，攻击者利用源自福克斯新闻域名的伪造电子邮件地址，试图将受害者引至托管BlackHole漏洞利用工具包的网站。一旦攻击邮件成功入侵用户电脑，就会释放一个与Cridex病毒家族相关的恶意代码，用于窃取银行凭证、泄露个人身份信息及其它私密信息，获取巨额犯罪收益。Websense安全实验室于6月27日检测到的这些恶意电子邮件以“最新新闻”为主题，模仿与“美国向叙利亚派遣部队”相关的合法新闻内容形式，意在诱使受害者点击恶意链接。此次攻击波及了全球范围内的各种行业，截至6月27日下午四点，Websense ThreatSeeker?智能云已经检测并成功拦截了60,000多个实例。下图为电子邮件截图：

　　被拦截的电子邮件中包含新闻快讯，而且都是针对移民改革政策、反恐战争和向叙利亚派遣驻军等当前最受欢迎和极具争议的话题，很有说服力，因此会引起收件人的兴趣。Websense检测到的电子邮件主题主要有：“美国在叙利亚的军事活动——这是第三次大战的开端吗？”、“美国在叙利亚驻军19,000人”、“奥巴马向叙利亚派遣驻军”等。

　　恶意电子邮件分析

　　这些电子邮件中往往包含一系列可以重定向的链接，将用户引至提供恶意PDF文件的BlackHole漏洞利用工具包。一旦此恶意PDF文件被打开，就会执行可以提供“CVE-2010-0188”漏洞的嵌入混淆JavaScript代码。在被成功入侵的电脑上，shellcode会从以下网址下载一个恶意组件：

　　hxxp://sartorilaw.net/news/source_fishs.php?kxdtlz=1l:1g:1i:1o:1j&mbtdi=1k:33:1f:32:2w:30:1h:1o:1h:1g&swlpwu=1i&doko=vaif&wgnrppva=xoti

　　下图则是这些电子邮件中包含的可以实现重定向的链接：

　　shellcode所下载的恶意组件是一个木马病毒，它可以将恶意文件下载至被入侵的电脑上，并且可以通过映射驱动器与可移动驱动器进行传播。

　　恶意PDF文件分析

　　攻击者将Java脚本语言嵌入到恶意PDF文件中，此类文件成功入侵受害者的电脑后，就会生成Windows注册表项HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun，可以在系统启动时自动运行，来保持自身的持久性。当恶意PDF文件开始执行时，就会打开8080端口上的许多HTTP链接，以下载更多的恶意载荷。端口信息如下图所示：

　　相关域名

　　上述的PDF漏洞可以下载托管在域名(hxxp://sartorilaw.net)上的恶意软件，该域名于2013年6月25日首次注册，利用三个不同的IP地址(119.147.137.31、203.80.17.155、174.140.166.239)，用来大量托管恶意软件，Websense ThreatSeeker?智能云将其定性为恶意网站。以下是Websense ThreatSeeker?智能云所检测的域名注册信息：

　　恶意网域(hxxp://sartorilaw.net)

　　联系邮箱：soldwias@usa.com

　　域名注册人：Cabrieto，Debbie

　　此外，对联系邮箱和注册人的WhoIS查找显示，就在同一天，同一注册人同一邮箱注册了第二个域名(hxxp://enterxcasino.net)。这个域名并没有用于此次攻击中，但是极有可能被攻击者用于以后的某些恶意攻击中。

　　影响和保护措施

　　此次恶意电子邮件攻击的总体影响很难去评定，但是攻击者社会工程的高度复杂化与最新漏洞与恶意软件的应用都将为目标系统带来持续增长的风险。Websense安全专家表示，Websense可以根据攻击的不同阶段提供相应的保护措施，与之前在Websense白皮书上讲述的高级威胁的7个阶段相比，在此次攻击中，我们可以提供在以下几个阶段提供保护措施：

• 第2阶段(诱饵)——以福克斯新闻为主题的电子邮件活动
• 第3阶段(重定向)——将用户引至可以提供漏洞利用代码的网站
• 第4阶段(漏洞利用工具包)——实时检测用于此次攻击的BlackHole漏洞利用工具包
• 第6阶段(自动通报)——恶意PDF文件携带的代码可以与托管恶意软件的服务器联系，已被Websense成功拦截。此外，还加入了分析功能，检测并阻止用于此PDF文件的C2协议。
• 第7阶段(数据窃取)——拥有滴管式DLP、光学字符识别(OCR)分析和隐蔽通道检测等高级功能组的Websense的DLP(数据泄露防护)工具能够检测并阻止敏感信息的泄露。