tombkeeper
2014-02-14 11:13
刚才把样本发给同事测了一下,我们小组做的多维交互分析引擎在未新增规则的情况下检测出了这个0day攻击![[嘻嘻]](https://h5.sinaimg.cn/m/emoticon/icon/default/d_xixi-643ef6e48d.png){kind=icon}
tombkeeper
2014-02-14 09:06
FireEye 的这篇分析(🔗网页链接)中谈到的攻击代码,已经考虑了 EMET 的存在,如果发现安装了 EMET,就会放弃攻击。虽然绕过 EMET 其实并不难做到,不过即使是这种检查,也至少说明 EMET 这类漏洞利用缓解软件已经受到了足够重视,攻防对抗进入了新阶段。所以,这个案例具有里程碑意义。
tombkeeper
2014-02-14 10:18
这个代码确实被用在好几个地方,赛峰集团、法国航空与航天工业协会等军工、防务类网站都被挂了,而且手法很拙劣。 //@binjo_: “First submission 2014-01-20 05:42:17 UTC”可能其它地方也用了//@instruder: 国内这些搞攻击的都无语了 11-12号发出来 13号就被逮了 然后还这样前赴后继的去打神经病啊
tombkeeper
2014-02-14 09:06
FireEye 的这篇分析(🔗网页链接)中谈到的攻击代码,已经考虑了 EMET 的存在,如果发现安装了 EMET,就会放弃攻击。虽然绕过 EMET 其实并不难做到,不过即使是这种检查,也至少说明 EMET 这类漏洞利用缓解软件已经受到了足够重视,攻防对抗进入了新阶段。所以,这个案例具有里程碑意义。
tombkeeper
2014-02-14 09:06
FireEye 的这篇分析(🔗网页链接)中谈到的攻击代码,已经考虑了 EMET 的存在,如果发现安装了 EMET,就会放弃攻击。虽然绕过 EMET 其实并不难做到,不过即使是这种检查,也至少说明 EMET 这类漏洞利用缓解软件已经受到了足够重视,攻防对抗进入了新阶段。所以,这个案例具有里程碑意义。