最新的Java零日股份与指定的连接安全事件

赛门铁克公司最近获得了一个新的Java零日CVE-2013-1493远程执行代码漏洞（CVE-2013-1493） ，Oracle的Java运行时环境的信息。在进攻中的最后一个有效载荷包括一个DLL文件，赛门铁克检测为Trojan.Naid，连接到命令与控制（C＆C）服务器110.173.55.187。 

有趣的是，一个Trojan.Naid的样品还签署了由被感染的指定的证书在指定的安全事件的更新和讨论，另一方的攻击。此示例还使用了反向信道的通信服务器的IP地址110.173.55.187。   

Trojan.Naid攻击者已经非常持久的，并已显示出其复杂的多次攻击。他们的主要动机一直是各种行业的工业间谍活动。攻击者采用多个零天。从2012年开始在一个例子中，赛门铁克的Trojan.Naid攻击者进行不同的零日的一个水坑攻击与报道，微软的Internet Explorer相同的ID属性的远程执行代码漏洞（CVE-2012-1875）。

图1。

在图1中可以看出，在初始阶段的攻击包括访问被攻破的网站，举办由赛门铁克作为Trojan.Maljava.B的，检测到的恶意JAR文件的目标。该JAR文件包含漏洞CVE-2013-1493，如果成功的话，下载一个名为svchost.jpg，实际上是MZ可执行文件，赛门铁克检测为Trojan.Dropper的。该可执行文件，然后作为一个加载程序的下降Appmgmt.dll文件，检测到Trojan.Naid。入侵防御（IPS）将于今天晚些时候发布更新的恶意JAR文件将包含以下内容的检测。

Web攻击：恶意的Java下载4

赛门铁克目前正在进一步调查这个零日保护，并提供更新博客。为了防止潜在的零日威胁，Symantec建议您使用最新的  STAR恶意软件保护技术  ，以确保最好的保护。

这个新的Java零日攻击也强调了在博客 FireEye的。