近日，Websense安全實(shí)驗(yàn)室的專家在ThreatSeeker Network監(jiān)測(cè)的結(jié)果中發(fā)現(xiàn)了一個(gè)不同尋常的域名“inte1sat.com”。該域名刻意用阿拉伯?dāng)?shù)字“1”代替小寫的英文字母“l”，以混淆人們的視線，使用戶落入陷阱。

    通過(guò)初步分析“inte1sat.com”域名下的內(nèi)容，專家們發(fā)現(xiàn)了可疑文件exploit.jar。（見圖1）

（圖1，inte1sat下的可疑Java文件包）

    安全專家們對(duì)攻擊者采取的這種偽裝手段很感興趣。通過(guò)谷歌搜索，他們發(fā)現(xiàn)正確拼寫的域名“intelsat.com”其實(shí)是一家衛(wèi)星通信公司的官方網(wǎng)站，這是一家以衛(wèi)星通信運(yùn)營(yíng)為核心業(yè)務(wù)的公司，為客戶提供如IP Trunking、電子通訊等服務(wù)。（見圖2）

（圖2，正確拼寫的域名指向一家衛(wèi)星服務(wù)公司）

    而通過(guò)谷歌搜索“inte1sat.com”，顯示的結(jié)果為一個(gè)存儲(chǔ)在美國(guó)聯(lián)邦通信委員會(huì)(FCC)的Web站點(diǎn)上的PDF文檔（見圖3）。 FCC是一家協(xié)調(diào)美國(guó)各州之間的無(wú)線電、電視、有線、衛(wèi)星及同軸電纜等網(wǎng)絡(luò)的大型機(jī)構(gòu)，影響力甚至覆蓋到南美洲的哥倫比亞特區(qū)。

（圖3，在谷歌上搜索inte1sat.com的顯示結(jié)果）

    但是，當(dāng)安全專家對(duì)這份可公開訪問(wèn)的可疑PDF文檔進(jìn)行內(nèi)容搜索后，竟然沒(méi)有發(fā)現(xiàn)任何“inte1sat”的字樣。我們可以大膽猜測(cè)，該文檔在通過(guò)谷歌的OCR算法掃描或傳真后上傳到網(wǎng)絡(luò)時(shí)，OCR算法對(duì)英文字母“l”的識(shí)別產(chǎn)生了錯(cuò)誤。盡管這個(gè)解釋不是不可能，但我們還是決定從一切的源頭展開調(diào)查，找出具體原因。Websense安全實(shí)驗(yàn)室在圖形化環(huán)境下對(duì)先前“inte1sat.com”域名下的可疑Java包進(jìn)行了進(jìn)一步的分析，這時(shí)，專家們發(fā)現(xiàn)了其中被植入的CVE-2012-4681漏洞攻擊包。該攻擊包會(huì)不斷生成并拋出異常，以此劫持Java Security Manager類，并發(fā)動(dòng)后續(xù)攻擊。（見圖4）

（圖4，可疑的exploit.jar中暗含漏洞攻擊包）

    當(dāng)這個(gè)漏洞攻擊包成功執(zhí)行后，就會(huì)自動(dòng)下載并運(yùn)行一個(gè)名為“IrFKDDEW.exe”的二進(jìn)制惡意軟件，并嵌入jar包中，進(jìn)而在用戶的系統(tǒng)中開啟后門。通過(guò)流量追蹤，可以發(fā)現(xiàn)該惡意軟件不斷嘗試向某IP地址發(fā)起連接請(qǐng)求。而其實(shí)早在2012年7月9日，這個(gè)IP地址所指向的站點(diǎn)就已經(jīng)被Websense的Virustotal鑒定為惡意站點(diǎn)（見圖5），具體報(bào)告點(diǎn)擊這里。

（圖5，Websense早已鑒定出這個(gè)惡意站點(diǎn)）

    Websense的安全專家繼續(xù)對(duì)“inte1sat.com”進(jìn)行更深入的解析，發(fā)現(xiàn)域名背后其實(shí)是一系列的IP地址池，這些IP地址上還掛載著其他疑似可能通過(guò)蓄意拼寫錯(cuò)誤嘗試攻擊的備用域名，只是目前尚未被激活啟用。

    盡管專家們目前還不能證實(shí)這是否是谷歌的問(wèn)題，讓“拼寫錯(cuò)誤”的文件信息與FCC這樣的大機(jī)構(gòu)一同出現(xiàn)在搜索結(jié)果首頁(yè)中。但可以肯定的是，黑客們將繼續(xù)尋找這樣的可趁之機(jī)，通過(guò)蓄意拼寫錯(cuò)誤的攻擊手段來(lái)擴(kuò)散漏洞攻擊包，損害用戶利益。

    雖然在ACE（高級(jí)分類引擎）的保護(hù)下，Websense的用戶可以安然無(wú)恙，但Websense仍提醒人們保持警惕，以免落入黑客的陷阱。

Websense 簡(jiǎn)介

    Websense Inc. (NASDAQ: WBSN) 全球領(lǐng)先的統(tǒng)一Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商，為全世界數(shù)萬(wàn)企業(yè)、中小市場(chǎng)和組織提供最低TCO（總體擁有成本）的最佳現(xiàn)代安全防護(hù)。利用全球渠道合作伙伴，通過(guò)軟件、硬件設(shè)備、安全即服務(wù)（SaaS）等交付模式，Websense先進(jìn)的內(nèi)容安全解決方案幫助全球組織盡享最新的通信協(xié)作和Web2.0商業(yè)工具，同時(shí)保護(hù)他們遠(yuǎn)離各種先進(jìn)的持續(xù)威脅、防護(hù)其關(guān)鍵信息的泄露并執(zhí)行各種互聯(lián)網(wǎng)安全使用策略。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：Websense提醒：警惕蓄意拼寫錯(cuò)誤的域名陷阱

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083936030.html