一场针对以色列用户的勒索行动因编码失误导致竹篮打水一场空

 

前言

一场针对以色列windows用户的勒索行动,却因攻击者的编码失误,导致竹篮打水一场空。

 

耶路撒冷行动

上周末,以色列数百个主流网站遭到代号为“耶路撒冷”(#OpJerusalem)的网络攻击,其目的是利用JCry勒索病毒感染windows用户。庆幸的是,攻击者在代码中的一个失误,使得受害主机仅仅显示一个虚假页面,而不会造成勒索病毒的传播。

为密谋此次行动,攻击者修改了来自nagich.com的一款流行网络插件的DNS记录。当访问者使用此插件访问网站时,将加载一个恶意脚本,而不是合法的插件。

卡巴斯基实验室首席安全研究员Ido Naor解释到,攻击者代码中的错误,致使只会显示虚假页面,而不会传播感染JCry勒索病毒。

“他们替换域名的IP地址后,他们只是将网络流量重定向到一个名为update.html的页面,页面中的脚本搜集受害主机的用户代理(USER-AGENT)。一旦找到,就会将其对应的信息与字符串Windows进行比较。如果不匹配,那么脚本就只显示一个虚假页面;否则,将会向受害主机分发一个虚假的Adobe更新程序。由于程序代码的失误(if语句的比较条件),程序永远不会执行下载操作,因此,此次攻击实际上是一场空。”

 

攻击行动

通过恶意脚本,我们可以清楚地观察到此次攻击是如何进行的,但很不幸,这是一次失败的行动。

攻击者的脚本将检查浏览器的用户代理,从而确定访问者是否运行windows系统。如果变量等于特定的字符串“Windows”,则网站会显示一条虚假的Adobe更新信息,用来传播JCry勒索病毒;否则,将显示虚假页面。

deface-prompt

显然,攻击者搞砸了这次行动,因此变量不可能仅仅等于字符串“Windows”,而是会包含windows的版本信息,例如“Windows 10”或“Windows 7”,因此任何人都只会显示虚假页面。该虚假页面包含以下文字信息 Jerusalem is the capital of Palestine #OpJerusalem,即耶路撒冷是巴基斯坦的首都#OpJerusalem

defaced-page

但是,如果攻击者没有犯下此失误,正确地对脚本进行了编码,那么屏幕将显示以下信息,来假装提醒受害者必须更新Adobe Flash Player.的版本。

fake-adobe-flash-prompt

点击更新,将会下载一个名为flashplayer_install.exe的可执行程序。

fake-adobe-installer

显然,该程序并不是Flash浏览器的更新程序,而是JCry勒索病毒。

 

(完)