鍵盤記錄器用法新姿勢:挖礦
Sucuri的研究人員最近發現了超過2000個WordPress站點又被黑客攻擊,用來挖掘門羅幣。
根據分析,這次黑客是用鍵盤記錄器的辦法來實施的攻擊,這與2017年12月初發生的5500個WordPress站點被竊取用戶名密碼和信用卡數據的技術非常類似。攻擊過程很簡單,攻擊者首先要找到不安全的WordPress網站,這些網站通常是運行較老的WordPress版本或較舊的主題和插件,然後黑客利用這些網站的漏洞將惡意代碼注入到CMS的源代碼中。
在管理員登錄的頁面,惡意代碼會載入託管在第三方域的鍵盤記錄器,運行鍵盤記錄器後,受影響網站的網頁表單上的任何信息都將被偷偷地發送給攻擊者,從而竊取用戶的登錄憑證。如果攻擊者得到了網站管理員的憑據,那他們就可以不依靠漏洞就能進入該網站。然後攻擊者就會通過運行這些網站,大量佔用用戶的CPU來挖礦。
攻擊從2017年4月就現端倪了
Sucuri追蹤發現這並不是一種新型的攻擊,cloudflare.solutions這個惡意軟體自2017年4月被發現以來,就一直很活躍,且技術不斷迭代。目前cloudflare.solutions域名上至少有3種不同的惡意腳本,最早的一個是2017年4月份出現的,攻擊者利用惡意的JS文件在被黑的網站上嵌入廣告。
2017年11月的時候,攻擊者就改變了攻擊的策略,將惡意腳本偽裝成假的jQuery和Google Analytics JS文件,這實際上是Coinhive瀏覽器內的加密貨幣挖礦機。截止去年黑客除了保留加密貨幣挖礦機腳本外,還添加了keylogger組件。
根據PublicWWW的2017年的數據分析,惡意腳本至少存在於5496個站點中。
在2017年12月8日,安全研究人員曾發布過關於這款鍵盤記錄器惡意軟體的文章,幾天後,存放惡意腳本的域名被下線。然而,這不是惡意軟體戰鬥的終點,攻擊者立即又註冊了多個域名,包括:在12月8日註冊了cdjs[.]online,在12月9日註冊了cdns[.]ws,12 月16日註冊了msdns[.]online。根據PublicWWW的數據分析,有超過2000個站點正在從這三個域載入腳本。
源碼搜索引擎PublicWWW已經確定了一些受感染的網站:受cdns[.]ws感染的有129個,受cdjs[.]online感染的有103個,但是大部分網站可能還沒有被索引。自2017年12月中旬以來,msdns[.]online已經感染了上千個網站,但大多數都是來自已經被入侵的網站的再感染。
在攻擊中使用的注入腳本
在過去的一個月里,這種攻擊使用了多種注入腳本:
hxxps://cdjs[.]online/lib.jshxxps://cdjs[.]online/lib.js?ver=…hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…hxxps://msdns[.]online/lib/mnngldr.js?ver=…hxxps://msdns[.]online/lib/klldr.js
cdjs[.]online腳本不僅被注入到WordPress資料庫中(wp_posts表),還被注入到主題的functions.php文件中,因為該文件是wordpress主題中的標準文件,不會引起懷疑。
Sucuri的研究人員還擔心,並不是所有受影響的網站都被收錄在PublicWWW中,實際受害者的數量可能會更大。
三個惡意的IP地址
已經確定這個新的攻擊是利用以下3個伺服器:
185.209.23.219(cdjs[.]online或3117488091,在這裡仍然可以找到keylogger的cloudflare[.]solutions版本)185.14.28.10(或3104709642,仍然保留hxxp//185.14.28.10/lib/jquery-3.2.1.min.js?v=3.2.11的cryptominer和cloudflare[.]solutions版本的鍵盤記錄器hxxp//185.14.28.10/lib/kl.js)107.181.161.159(cdns [.] ws和msdns [.]online,它提供了新版本的挖礦器和鍵盤記錄器)
緩解措施
雖然本次的攻擊不及去年12月份的那次攻擊規模,但再感染率表明仍然有許多網站即使在攻擊後還沒有做好保護措施,有些網站可能都沒有注意到之前的感染。
所以,你需要從主題的functions.php中刪除惡意代碼,掃描wp_posts表以發現可能的注入,修改所有WordPress密碼,並更新所有伺服器軟體,包括第三方的主題和插件。
本文翻譯自: https://www.bleepingcomputer.com/news/security/keylogger-campaign-hits-over-2-000-wordpress-sites/如若轉載,請註明原文地址: http://www.4hou.com/info/news/10154.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Blackhat2016第二天部分精彩議題介紹(含PPT下載)
※使用FTP的系統控制後門作為C&C通道
※ApplicationWhiteListingBypassTest——MSBulid&CreatSCT
※新手必看:黑客入門技能表
※最新研究:英特爾AMT安全鎖可被繞過,影響百萬筆記本電腦
TAG:信息安全 |