Websense：警惕蓄意拼写错误的域名陷阱

近日，Websense安全实验室的专家在ThreatSeeker Network监测的结果中发现了一个不同寻常的域名“inte1sat.com”。该域名刻意用阿拉伯数字“1”代替小写的英文字母“l”，以混淆人们的视线，使用户落入陷阱。

通过初步分析“inte1sat.com”域名下的内容，专家们发现了可疑文件exploit.jar。(见图1)

图1 inte1sat下的可疑Java文件包

安全专家们对攻击者采取的这种伪装手段很感兴趣。通过谷歌搜索，他们发现正确拼写的域名“intelsat.com”其实是一家卫星通信公司的官方网站，这是一家以卫星通信运营为核心业务的公司，为客户提供如IP Trunking、电子通讯等服务。(见图2)

图2 正确拼写的域名指向一家卫星服务公司

而通过谷歌搜索“inte1sat.com”，显示的结果为一个存储在美国联邦通信委员会(FCC)的Web站点上的PDF文档(见图3)。 FCC是一家协调美国各州之间的无线电、电视、有线、卫星及同轴电缆等网络的大型机构，影响力甚至覆盖到南美洲的哥伦比亚特区。

图3 在谷歌上搜索inte1sat.com的显示结果

但是，当安全专家对这份可公开访问的可疑PDF文档进行内容搜索后，竟然没有发现任何“inte1sat”的字样。我们可以大胆猜测，该文档在通过谷歌的OCR算法扫描或传真后上传到网络时，OCR算法对英文字母“l”的识别产生了错误。尽管这个解释不是不可能，但我们还是决定从一切的源头展开调查，找出具体原因。Websense安全实验室在图形化环境下对先前“inte1sat.com”域名下的可疑Java包进行了进一步的分析，这时，专家们发现了其中被植入的CVE-2012-4681漏洞攻击包。该攻击包会不断生成并抛出异常，以此劫持Java Security Manager类，并发动后续攻击。(见图4)

图4 可疑的exploit.jar中暗含漏洞攻击包

当这个漏洞攻击包成功执行后，就会自动下载并运行一个名为“IrFKDDEW.exe”的二进制恶意软件，并嵌入jar包中，进而在用户的系统中开启后门。通过流量追踪，可以发现该恶意软件不断尝试向某IP地址发起连接请求。而其实早在2012年7月9日，这个IP地址所指向的站点就已经被Websense的Virustotal鉴定为恶意站点(见图5)，具体报告点击这里。

图5 Websense早已鉴定出这个恶意站点

Websense的安全专家继续对“inte1sat.com”进行更深入的解析，发现域名背后其实是一系列的IP地址池，这些IP地址上还挂载着其他疑似可能通过蓄意拼写错误尝试攻击的备用域名，只是目前尚未被激活启用。

尽管专家们目前还不能证实这是否是谷歌的问题，让“拼写错误”的文件信息与FCC这样的大机构一同出现在搜索结果首页中。但可以肯定的是，黑客们将继续寻找这样的可趁之机，通过蓄意拼写错误的攻击手段来扩散漏洞攻击包，损害用户利益。

虽然在ACE(高级分类引擎)的保护下，Websense的用户可以安然无恙，但Websense仍提醒人们保持警惕，以免落入黑客的陷阱。