扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
黑客一直在试图找到延长植入代码在站点上的存活期的方法。存活期是指从攻击者植入恶意代码到网站管理员发现并将其清除的这段时间。通常,管理员越早发现恶意代码,则存活期越短,反之则越长。
显然,最简单的攻击方法就是先攻占挂载页面的Web服务器,然后在Web服务器上面安装流氓软件。这些流氓软件十分狡猾,可以很好的将自己隐藏在服务器系统中,避开站点管理员、安全研究人员或其他黑客的巡查。
网络上有许多博客、文章及论坛都出现了售卖各类用于“渗透测试”黑客工具的相关信息。Websense的安全专家监视了其中一些论坛,他们发现最近有一批Rootkits工具正在论坛上贩卖,这类Rootkits工具可在Web服务器架设的站点上植入和隐藏恶意代码。虽然不法组织只将这些工具出售给了极少数人,但研究人员、网站管理员和Web服务器管理员已经发现了它们,并开始在安全博客及论坛上展开相关讨论。其中,有几个论坛的帖子都提到了这样的现象:同一台服务器上所挂载的不同站点上时不时的会出现一些被植入的恶意iframes代码段,代码段中的URL字段会不断变化,而网站和Web服务器的管理员都查不到问题所在。(见图1)
据悉,不法分子只需花一千美元就可以购买名为“Apache 2”的流氓模块。不法分子在广告中展示了该模块的部分特性:可将代码植入php、htm或是js页面;只允许特定的IP地址访问;可周期性的更新URL链接(可配合漏洞攻击包使用)等。
先将生成的iframes代码段放一边,真正值得我们注意的是上面提到的这种流氓模块。因为这种流氓模块可以自动转为隐藏模式而难以被管理员发现,所以它有很长的存活期,它能搜集和记录系统管理员账号登录服务器所用的IP地址,一旦发现管理员登录,它就马上潜伏起来,不对管理员显示恶意iframes代码段。另外,像tcpdump这样的检测进程也会激活流氓模块的隐藏模式。而一旦管理员下线或检测进程终止,恶意代码又会开始活跃起来,继续为害。
流氓Apache模块软件的作者甚至在网上发布了该流氓软件配合各种漏洞攻击包的成功率。(见图2)
Websense将如何保护客户免受这种流氓软件生成的植入式恶意代码的威胁呢?
当客户浏览被植入恶意代码的Web站点时,Websense的ACE(高级分类引擎)专利技术可实时分析Web站点,防御任何加载过程中出现的恶意iframes代码段。这类流氓Apache模块根据不同的参数来决定是否显示植入的恶意内容,如根据IP地址判断访问者是否是第一次来访,或是通过特定的反向链接而来等。这对没有实时监控功能的安全解决方案来说是巨大的挑战,而Websense提供的解决方案具有实时解析和动态分析的优势,可在发现植入的恶意代码后马上对页面进行拦截,以保障客户拥有安全的网络环境。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者