2013年,Web服务器攻击和开发工具包演变的更加危险和难以侦测,从而导致针对存在风险的Web客户端的偷渡式攻击越发猖獗。
正如我们上面在Linux恶意软件的论述中简要提到的,我们已经看到伪装的恶意Apach e模块式攻击明显增加;这些模块,一旦在存在漏洞的合法网站上安装成功,就会通过Web浏览器发动动态攻击。
Darkleech攻击web服务器
今年最引人注目的例子就是Dark leech,据报告统计到2013年5月它已经成功的破坏了40,000域名和网站的IP地址,其中有一个月破坏的数量就达到了15,000个。据报道包括洛杉矶时报和希捷这样的知名网站都成为了Darkleech的受害者。 被Darkleech感染的Web服务器会传播一些非常严重的恶意软件,其中包括Nymaim勒索攻击,它会加密用户的文件,要求用户支付300美元的赎金才能给将文件解密。根据我们的研究,有93%被Darkleech感染的网站运行的是Apache软件。
2013年3月,Darkleech及相关攻击是我们检测到的针对客户终端和网络设备最常见的网络威胁,大概占到所有被检测到的Web威胁数量的30%左右。其中一些攻击也经过了精心伪装,使他们很难被发现。举例来说,他们可能一次只触发十分之一,导致管理员尽管对此问题有所怀疑,也会认为如果它存在的话,也不是源自本地系统。 Darkleech维护者黑名单以确保任何特定的IP一次只发送一个恶意重新定向。很多攻击者在遇到一个他们认为来自安全社区或搜索引擎的IP时,也会选择不去注入重定向。
Web服务器攻击让安全公司和托管服务提供商之间在更深了解像Darkleech这样复杂而微妙的攻击方面的关系变得更加密切。从技术角度来看,这些攻击已经隐藏的非常难以侦测。我们已经与几家受影响的托管服务提供商密切合作,帮助这些公司清理他们的服务器。但是由于托管业务的性质决定了他们的利润较低,因此一些托管服务提供商在发现服务器被感染后,往往只是简单地重建一个新的虚拟服务器实例,而不是去诊断所发生的状况。因此托管服务提供商和他们的安全合作伙伴都不明白发生了什么,导致新的实例往往又迅速成为被感染的对象。用户应该在被感染的情况下,询问他们的托管服务提供商需要采取什么措施,应该做些什么才能避免再次感染。
更多恶意广告
Malvertising(恶意广告)就是通过合法的在线广告网络和网站传播的恶意广告。恶意广告已经存在了多年,但在2013年,我们看到更多的恶意广告通过YouTube这样的著名网站大肆散布。
近年来,恶意广告往往采取的是恶意Flash内容的形式。如果用户点击一个Flash广告,他或她可能会被重定向到注入ActionScript代码的恶意网站。一个典型的例子就是最近发生的TROJ / SWFRed –D Trojan。在2013年期间广泛存在于在YouTube的广告中,此木马将用户重新定向到Styx开发套件 -- 来提高的占有率(见下图)。在某些情况下,Flash用户甚至在没有被重新定向的情况都可以被感染,因为Flash广告包含针对客户Flash播放器漏洞的利用代码。
超越Blackhole:一个世界级的漏洞开发工具包
去年的威胁报告中Blackhole所占的比例很大,Blackhole是一个事先打好包的漏洞开发工具包,让恶意软件制造者可以更加轻松的发送任何他们想要的有效载荷。Blackhole无处不在:事实上上面谈到的Darkleech攻击利用的也是Blackhole。但Blackhole不再是唯一的途径。即使没有逆向工程Blackhole,几个群组也已经在其创新的基础上创建了一个强大的漏洞开发工具包。在我们最新的研究报告中,Blackhole在流行率上仅位列第八,随着2013年10月Blackhole的主要作者Paunch被捕并面临指控,Blackhole甚至可能会进一步衰退。市场的反应就是一个例子,据称Paunch的被捕导致他的竞争对手-Neutrino的价格立即水涨船高。
开发套件:Blackhole落后于改进的代码
2012年,Blackhole是世界范围内占据主导地位的攻击工具包,但在2013年,诸如Neutrino和Redki t这样新的开发工具包变得更为普遍。
Redkit的崛起
Blackhole针对的是Java,Adobe PDF和Flash中的缺陷,但很多新的工具包只需专注于Java就找到大量的缺陷。一个典型的例子就是Redkit,它的目标是合法网站。2013年2月攻击美国全国广播公司网站的黑客使用的就是Redkit,这是继波士顿马拉松赛爆炸案后一场垃圾邮件的战役。到2013年7月,据报告它已经成为最流行的开发工具包,占到当月检测到的开开发工具包数量的42%。像传统的偷渡式下载一样,Redkit将来自合法网站的用户重新定向到一个恶意攻击网站。不过Redkit首先会重新定向到另一个合法但存在风险的服务器。然后在第二阶段进行重新定向,反弹受害者到被攻破的.html或.htm登陆页面,以Java JAR文件(一个经常用于分发Java小应用程序的文件格式)的形式提供恶意内容。
从受害者的角度来看,恶意内容是从第二阶段重新定向中使用的被入侵网络服务器上传播出去的。但是这样就使得侦测Redkit变得难上加难,因为内容永远不会存储在那里。相反被Redkit入侵的web服务器上会运行一个PHP shell,使其连接到远程Redkit的命令和控制服务器上。这个shell每小时更新一次恶意网站的名单,影响受害者正确的定位,以确保最新的恶意内容从它真正的来源传播出去。
compromises2013年6月开发工具包有效载荷:漏洞开发工具包可以携带任何东西:
漏洞开发工具包的设计旨在携带广泛的有效载荷:到2013年6月,勒索软件攻击和ZeroAccess僵尸网络是最普遍的。
Redkit采用了僵尸网络的某些属性来控制每个可能与成千上万用户(甚至上百万)交互的Web服务器。由于这些Web服务器是全天候24小时运行的,关联的用户数量非常庞大,他们对于那些想要大规模发动DDoS攻击或者传播恶意软件的攻击者来说是非常有价值的。
但Redkit并不是唯一针对Web服务器的新开发工具包。我们已经在全世界范围内检测到针对托管服务提供商的Glazunov病毒。正如15页上的图表所示,Glazunov在2013年第三季度占到所检测到的所有开发工具包数量的5.47%。这种开发工具包在实施危险勒索攻击行径上已经是臭名昭著。另外两个新兴的漏洞开发工具包-Sibhost和Flimkit则非常相似,他们有可能他们来自同一个源头。
ZBOT遍及全球
2013年传播广泛的Zbot开发工具包有效载荷已经遍及美国,欧洲和澳大利亚,在美国,英国和意大利检测到的比例分别为31%,23%和12%。
保护你的网络服务器和客户端的几点提示
依靠分层防御保护. 将最新的恶意软件检测与网页过滤结合使用,实时运行检测/主机入侵防护。
及时打补丁. 虽然零日攻击的认知度很高,但绝大多数攻击还是依靠旧的漏洞,因此你真的应该立刻马上开始打补丁。
限制或删除客户端上的Java. 2013年,许多僵尸网络和开发工具包的制造者将他们关注的重点从Flash和PDF重新转移到Java上。因为他们从中看到了最大的弱点 - 这就意味着你应该重新考虑你的客户端上是否真的还需要Java。通过规避或消除不必要的网站插件来减少攻击面. 举例来说,不使用WordPress插件。保护网站的认证信息. 使用特殊密码,请务必确保你已经更改了所有默认的管理员密码。