间谍活动针对的目标
这场活动的目标有以下几个:
北约
乌克兰政府组织
西欧政府机构
能源行业的企业(特别是波兰)
欧洲电信公司
美国学术团体
下图是该搭载漏洞的沙虫病毒的攻击方向:
0day是如何被揪出来的
iSIGHT Partners一直以来一直监控着各地各种网络间谍活动,针对不同的组织有着不同的团队进行跟踪。而关于这次的有关windows 0day的沙虫事件,iSIGHT Partners是从2013年下半年开始监控这支团队的,而最近,这支团队使用了多种渗透方式攻击了目标,这其中就使用了BlackEnergy软件,同时使用了两个已知的漏洞,也使用了一个0day漏洞,就这样,这个漏洞被iSIGHT Partners的人成功捕获。
关于漏洞的更多细节
通过iSIGHT Partners与微软的更多沟通,暂时能披露出来的漏洞信息如下:
1、该漏洞存在于OLE包管理器(OLE package manager)中,同时影响windows个人版和服务器版本,其中:
·影响全版本的从Vista SP2 到 Windows 8.1的个人操作系统
·影响Windows Server versions 2008 和 2012服务器系统
2、当成功利用该漏洞后,可允许执行远程命令
3、漏洞存在的原因主要是windows允许OLE packager (packager .dll)下载并执行一个INF文件。以至于当我们利用漏洞特别是打开一个PPT文件的时候,管理器(packagers )允许OLE包管理对象(Package OLE object)执行任意命令,比如一个来自不受信任的地址的INF文件。
4、但是攻击者要想成功利用该漏洞也不是那么容易的,攻击者需要精心构造一个包含任意命令的存在该漏洞的文件,同时诱使目标成功执行这个文件才行,也就是说,漏洞并非通过直接性的RCE(远程命令执行)的方式,而是需要通过结合社工手段才可能触发该漏洞。