一種“有趣”的新型攻擊手段被安全人員發(fā)現(xiàn)。安全人員認(rèn)為，這種新型手段是對(duì)特定目標(biāo)投放惡意軟件的全新攻擊手段。

這種手段被稱為路過登錄(Drive-by-login)。路過下載(Drive-by downloads)可以在用戶訪問惡意頁面時(shí)對(duì)其注入惡意軟件，這種新手段與之類似。不過，在路過登錄攻擊中，攻擊者在用戶可能登錄的網(wǎng)站中嵌入惡意代碼。這些惡意代碼被用于向特定目標(biāo)注入惡意軟件，而并非所有網(wǎng)頁訪問者。

High-Tech Bridge公司在收到一家名為Central European的在線商店報(bào)告后對(duì)該攻擊方式展開了調(diào)查。用戶發(fā)現(xiàn)在登錄這家企業(yè)的網(wǎng)站時(shí)會(huì)被試圖注入惡意軟件。最初，研究人員認(rèn)為這只是一次假陽性事件，因?yàn)樗麄儾]有發(fā)現(xiàn)網(wǎng)站有任何注入惡意軟件的企圖。然而進(jìn)一步的調(diào)查分析表明，這是一種精心安排的定向攻擊。

這家在線商店使用osCommerce Online Merchant v2.3.4平臺(tái)，該版本發(fā)布于2014年六月。在企業(yè)服務(wù)器上，研究人員發(fā)現(xiàn)了針對(duì)osCommerce的后門文件，文件名“ozcommerz_pwner.php.bak”。

這個(gè)后門將自己的惡意代碼和osCommerce平臺(tái)“/includes/application_bottom.php”路徑下的腳本文件綁定在一起，在用戶使用特定IP或注冊(cè)郵箱加載網(wǎng)站時(shí)會(huì)執(zhí)行一種名為任意遠(yuǎn)程載入的惡意軟件。

為了不引起安全人員注意，該后門會(huì)重置其所綁定腳本的時(shí)間戳，使文件看上去并沒有被改動(dòng)。一旦惡意軟件注入成功，該后門會(huì)自動(dòng)抹去綁定在application_bottom.php腳本上的內(nèi)容，以防止被調(diào)查人員發(fā)現(xiàn)。

在調(diào)查人員分析的這起事件中，后門已經(jīng)清除了腳本的相關(guān)信息，不過安全專家們還是在該后門的一份備份文件中找到了惡意代碼。

該后門并未被任何反病毒軟件探測(cè)為有害，它的功能是在特定IP或登錄郵箱訪問網(wǎng)站時(shí)向其注入惡意軟件。

注入過程并不是直接的。它會(huì)讓受害者重定向到一個(gè)常用的黑客工具包，并通過最近已經(jīng)被修復(fù)的Adobe Flash Player漏洞對(duì)受害者進(jìn)行注入。

在這起事件中，黑客也竊取了在線商店的數(shù)據(jù)庫(kù)。該網(wǎng)站使用了脆弱的第三方插件，很容易被入侵。

研究人員表示，路過登錄攻擊是非常危險(xiǎn)的，因?yàn)閷?shí)施攻擊并不需要任何社會(huì)工程學(xué)，進(jìn)而不能通過培訓(xùn)員工來防御。攻擊者只需要入侵一個(gè)目標(biāo)有可能會(huì)訪問的網(wǎng)站，并搜尋可以將目標(biāo)分離出來的相關(guān)信息。類似的信息并不難獲取，因?yàn)橛脩粼谏缃痪W(wǎng)絡(luò)和其它網(wǎng)站上披露的信息十分充分。

路過登錄攻擊的另一個(gè)威脅在于很難被偵測(cè)到，因?yàn)樗鼈冎幌蛱囟ㄓ脩敉斗艕阂廛浖?/p>

惡意軟件探測(cè)策略可能會(huì)一無所獲，因?yàn)楹箝T并不會(huì)向掃描網(wǎng)站的爬蟲注入惡意軟件。惡意軟件只針對(duì)特定用戶注入，只有這個(gè)用戶才能察覺到攻擊。

安全專家表示，解決該威脅的最佳方式是部署一個(gè)復(fù)雜的文件完整性監(jiān)控策略，確保Web服務(wù)器打上最新的補(bǔ)丁并正確配置，并定期執(zhí)行滲透測(cè)試。

路過式登錄攻擊意味著今后沒有網(wǎng)站會(huì)是百分百安全的。任何網(wǎng)站，不論它的大小和功能，都有可能成為復(fù)雜的針對(duì)性入侵的受害者。它開啟了安全網(wǎng)站世界的末日。

研究小組的負(fù)責(zé)人表示，他并不認(rèn)為路過登錄會(huì)被用于進(jìn)行大規(guī)模攻擊。但他堅(jiān)信未來這類針對(duì)“VIP受害者”的攻擊將會(huì)增多。

原文地址：http://www.aqniu.com/tools/7340.html