猖獗的Apache网站攻击用恶意软件攻击访问者

admin 2018-06-19

强制运行Apache Web服务器的站点在访问者的个人电脑上安装恶意软件的活动在过去9个月中危害了4万多个网址,其中仅5月份就有1.5万个网址。

反病毒提供商Eset的研究人员周二公布的这些数据是最新迹象,表明对运行Internet最受欢迎的Web服务器的网站的攻击仍在继续。被称为Darkleech的流氓Apache模块被安装在受损的服务器上,并将合法网站变成在线矿区,让毫无戒心的访问者暴露在一系列危险的攻击之下。自10月份以来,已有4万多个域名和网站IPs被征用,其中仅2013年5月份就有1.5万个同时处于活动状态。仅在上周,Eset就检测到至少270个不同的网站让用户遭受攻击。

受Darkleech咒语影响的网站会将某些访客重新导向恶意网站,这些网站包含臭名昭著的黑洞攻击套件所衍生的攻击代码。地下论坛中提供的收费软件包使新手很容易利用浏览器和浏览器插件中的漏洞。尚未安装修补这些漏洞的更新的web访问者会被各种危险的恶意软件标题悄悄地感染。在Darkleech推送的恶意软件中,有一个ransomware需要300美元才能从受害者的机器上解锁加密文件。其他安装的恶意软件包括Pony Loader和Sirefef。Eset恶意软件研究人员塞巴斯蒂安·杜奎特在周二的博客文章中写道:“

这项活动已经持续了很长时间。我们的数据显示,至少从2011年2月开始,黑洞实例已经活跃了两年多。

Eset的研究与Ars 4月份的报道一致,Ars报告说,仅在几周时间内,估计就有2万个Apache网站感染了Darkleech。洛杉矶时报、希捷和其他著名公司经营的网站也在伤亡之列。与Ars一样,Eset发现Web恶意软件采用了一系列详细的条件来确定何时向显示给最终用户的页面中注入恶意链接。其中,Eset写道,只有当用户的浏览器报告他们使用微软的Internet Explorer浏览器或Oracle的Java插件时,他们才会受到攻击。ESET的发现也与Google最近的数字一致,显示绝大多数恶意软件攻击都源自被黑客攻击的合法站点。

所选的fewDarkleech还已知使用属于安全和托管公司的IP地址、最近受到攻击的人以及无法从特定搜索查询访问被攻击页面的人来传递访问者。由于Darkleech开发人员对潜在的受害者具有高度选择性,因此安全维护者更难瓦解这场运动并阻止感染。被选中的访问者将在合法网站的网页中获得一个基于HTML的iframe标签,该标签已被破坏。iframe利用攻击者控制下的恶意站点的代码。

Darkleech,又名Linux / Charpoy,也能够根据感染患者的地理区域量身定制漏洞。例如,感染美国访客的赎金据说来自FBI,而袭击其他国家民众的赎金也相应地被修改。

10月,Darkleech进行了一次改造,改变了恶意iframe中URL的格式,因此很难发现。它的工作原理是解密四个不同的文本字符串,然后计算密码散列,以确定是否应该为访问者提供iframe。通往攻击站点的随机生成的链接除了其泄露的结尾 q PHP

之外,很难被检测为恶意链接,就像先前的调查一样,研究人员仍然不知道Darkleech模块是如何初步掌握它感染的站点的。有人猜测,服务器受到利用CPanel或Plesk工具管理员用来远程管理站点的无证漏洞的危害,但没有确凿证据支持这一理论。研究人员还认为,网站可能会被破解管理密码或利用Linux、Apache或其他常用软件中的安全漏洞接管。Eset的安全情报项目经理皮埃尔-马克局告诉Ars,darkleech部分使用CPanel和Plesk服务器来处理iframe注入和有效载荷传递的某些方面,而其他部分则依赖Apache服务器本身。

由于通常有许多网站托管在一台服务器上,通常有多个域名指向一个IP地址,所以Eset研究人员无法确定Apache支持的网站ar有多少被暗水蛭感染。Bureau说,总数可能低于估计的4万人。

Eset报告发布两周前,安全公司Sucuri的研究人员发现了一个感染Apache服务器的新恶意模块。他们还不确定这个插件是Darkleech的更新的、更隐蔽的版本,还是由一个敌对犯罪集团开发的完全不同的工具。近几个月来,研究人员发现了第三个恶意软件,它导致网站让访问者遭受攻击。它被称为Linux / cdworked,以运行Apache、nginx和lightpd Web服务器的站点为目标,截至5月,仅运行Eset软件的终端用户就有近10万人遭到攻击。

只有您才能防止Web服务器黑客攻击,因为如此多的威胁成功地针对主流Web服务器,管理员应该注意通过遵守良好的安全卫生来锁定他们的系统。一个步骤是确保所有默认密码都已更改为长且随机生成的密码。同样关键的是确保所有软件组件(包括操作系统和所有应用程序)都是最新的。不时使用网站安全扫描程序,偶尔检查Web服务器的HTTP守护程序的加密散列,以确保它没有被篡改,也不是一个坏主意。


点赞: