两大僵尸网络正在使用或瞄准了各种内容管理系统,包括非常流行的WordPress博客平台和Joomla网站平台。企业和服务供应商网络安全和管理解决方案领先供应商Arbor Networks指出,最近的一次行动开始于2013年5月底,行动名称为“Fort Disco”。 Arbor公司已经发现了6个命令与控制服务器,在超过25,000台受感染的Windows机器上运行,这些机器被用来不断尝试密码组合来暴力攻击CMSs。
迄今为止,有6,000多台安装了WordPress博客平台、Joomla网站平台和Datalife Engine商业CMS系统的机器受到了危害。Arbor深刻理解此次行动的意义,因为在“Fort Disco”行动之后留下了一些可以公开获取的日志文件。尽管存在这方面疏忽,僵尸系统主网站还是使用了一些半智能恶意软件来逃避侦查。
他们至少使用了4种恶意软件,这些软件会接受指令并把重点放在目标网站,其中包含5,000到10,000个之间的一个时间变量列表。另一条指令会告诉软件该使用什么密码,有时还会对密码提供统一资源定位器(URL)。僵尸系统主网站将获得成功非法闯入的返回报告。
在788个案例中,目标网站上被安装了PHP文件后门,允许攻击者浏览文件系统、上传或下载文件以及在受感染的服务器上执行命令。Arbor公司的Matthew Bing说道:“通过向受害站点上传PHP shell脚本,攻击者可以轻而易举地向千万个受害网站发布指令。”
在一些网站上,有一个重定向器向用户发送Styx透代码工具包。Arbor公司认为,攻击者正在吸纳CMSs和博客平台为僵尸网络的一部分为将来的攻击做准备。
Arbor公司认为,侵入者的总部在苏联国家。大多数目标网站都设在俄罗斯或乌克兰境内,而所有的指挥控制网站都在这两个国家。恶意软件一开始是怎样侵入到机器当中的,这仍然是个未解之谜。“我们能够看出,恶意软件原始文件名(maykl_lyuis_bolshaya_igra_na_ponizhenie.exe)的含义与Michael Lewis俄文版的书《以大见小:末日机器》有关,该文件带有可执行的附件。”
“另一个文件名(proxycap_crack.exe)指的是ProxyCap程序的破裂。目前尚不清楚受害者是否曾被引诱运行这些文件。如果是的话,这就是唯一的感染途径。关于感染机理,C&C 网站并未提供任何附加的线索。”
趋势科技(Trend Micro)公司警告说,成千上万以WordPress博客平台、Drupal系统、Joomla网站平台为基础的受害网站正在成为滥发垃圾邮件的僵尸网站的一部分。受害网站包含有效载荷链接和垃圾邮件脚本,并发送给用户以传播恶意软件。
趋势科技公司认为,有195,000域和IP地址受到感染,变成StealRat垃圾邮件僵尸网路的一部分。该公司在本周发表的博客中说道:“这些受害网站的共同点是它们都使用脆弱的CMS运行软件。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
RSAC 2017:IoT安全威胁登话题榜首
在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……
-
对付僵尸网络?这两大策略要get住
最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……
-
2017:更多IoT攻击堆高数据泄露事故
不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……
-
日进300万美元!广告欺诈活动Methbot猖獗到极点
据最新报告显示,通过生成大量虚假视频广告,大规模网络犯罪行动Methbot每天赚取数百万美元。