这种手段被称为途经登录(Drive-by-login)。途经下载(Drive-by downloads)可以在用户访问恶意页面时对其注入恶意软件,这种新手段与之类似。不过,在途经登录攻击中,攻击者在用户可能登录的网站中嵌入恶意代码。这些恶意代码被用于向特定目标注入恶意软件,而并非所有网页访问者。
High-Tech Bridge公司在收到一家名为Central European的在线商店报告后对该攻击办法展开了调查。用户创造在登录这家企业的网站时会被试图注入恶意软件。最初,研究职员认为这只是一次假阳性事宜,由于他们并没有创造网站有任何注入恶意软件的企图。然而进一步的调查剖析表明,这是一种精心安排的定向攻击。
这家在线商店利用osCommerce Online Merchant v2.3.4平台,该版本发布于2014年六月。在企业做事器上,研究职员创造了针对osCommerce的后门文件,文件名“ozcommerz_pwner.php.bak”。
这个后门将自己的恶意代码和osCommerce平台“/includes/application_bottom.php”路径下的脚本文件绑定在一起,在用户利用特定IP或注册邮箱加载网站时会实行一种名为任意远程载入的恶意软件。
为了不引起安全职员把稳,该后门会重置其所绑定脚本的韶光戳,使文件看上去并没有被改动。一旦恶意软件注入成功,该后门会自动抹去绑定在application_bottom.php脚本上的内容,以防止被调查职员创造。
在调查职员剖析的这发难宜中,后门已经打消了脚本的干系信息,不过安全专家们还是在该后门的一份备份文件中找到了恶意代码。
该后门并未被任何反病毒软件探测为有害,它的功能是在特定IP或登录邮箱访问网站时向其注入恶意软件。
注入过程并不是直接的。它会让受害者重定向到一个常用的黑客工具包,并通过最近已经被修复的Adobe Flash Player漏洞对受害者进行注入。
在这发难宜中,黑客也盗取了在线商店的数据库。该网站利用了薄弱的第三方插件,很随意马虎被入侵。
研究职员表示,途经登录攻击是非常危险的,由于履行攻击并不须要任何社会工程学,进而不能通过培训员工来防御。攻击者只须要入侵一个目标有可能会访问的网站,并征采可以将目标分离出来的干系信息。类似的信息并不难获取,由于用户在社交网络和其它网站上表露的信息十分充分。
途经登录攻击的另一个威胁在于很难被侦测到,由于它们只向特定用户投放恶意软件。
恶意软件探测策略可能会一无所获,由于后门并不会向扫描网站的爬虫注入恶意软件。恶意软件只针对特定用户注入,只有这个用户才能察觉到攻击。
安全专家表示,办理该威胁的最佳办法是支配一个繁芜的文件完全性监控策略,确保Web做事器打上最新的补丁并精确配置,并定期实行渗透测试。
途经式登录攻击意味着今后没有网站会是百分百安全的。任何网站,不论它的大小和功能,都有可能成为繁芜的针对性入侵的受害者。它开启了安全网站天下的末日。
研究小组的卖力人表示,他并不认为途经登录会被用于进行大规模攻击。但他坚信未来这类针对“VIP受害者”的攻击将会增多。
安全百科途经下载(drive-by download)是指人们在访问网站或打开文件时,被恶意黑客利用系统或软件的漏洞,在不知情的情形下,下载恶意代码或文件。
