心得技巧

破解PHP . net的黑客将访问者暴露在非常不寻常的恶意软件中

日期:2018-06-19 浏览:40

进一步解读黑客危害官方PHP网站,在黑客危害官方PHP网站并在网站上加进攻击代码8周后用恶意软件(更新)感染访问者,外部安全研究人员已经发现证据表明,一些访问者暴露在恶意软件中,这些恶意软件即使不是独一无二的,也是非常罕见的。总部设在以色列的Seculert说,大约有6500台电脑感染了DGA。changer,一个恶意软件标题,其唯一的工作是秘密地将其他恶意软件下载到受损的系统上。DGA 10月22日至24日期间,PHP . net的访客收到了五种不同恶意软件类型中的一种。changer采用一种新颖的方式规避检测和拆除尝试。就像以前安装了域生成算法DGA的特洛伊木马一样。changer能够对被感染机器联系以发送数据和接收指令的命令和控制( C2 )域名进行即时更改。这阻碍了仅仅控制C2域名的运动。民航总局。changer通过允许操作人员更改生成一组特定伪随机域的算法 seed 进一步采取这一规避措施。succelert researcher和CTO Aviv Raff在周三发表的博客文章中写道,

因此,传统的安全方法(即仅使用沙盒的方法)很难检测到它们,因为初始样本将在更改前显示域名流,而这些域名流不再解析为C2服务器。研究人员通常使用杜宇沙盒和类似的自动恶意软件分析系统在受控环境中运行最近发现的恶意软件样本。如果是民航总局。沙箱中的转换器种子与野外运行的版本不匹配,研究人员无法继续监控发送到C2服务器的通信。

进一步阅读受零日Java攻击的accebook电脑,到目前为止,系统已感染DGA。变革者一直保持着出奇的安静。自从Seculert开始监控恶意软件以来,被感染的机器只下载了一个文件,而且是良性的。拉夫说,他怀疑攻击者可能正在向特定方面出售对受损机器的按安装付费访问权限。他的推测基于这样的知识,即至少有一些感染人群是PHP程序员,他们为世界各地各种敏感网站开发应用程序。这使得他们成为高价值的目标,对合适的买家来说,这些目标可能是价值不菲的。这一漏洞让人回想起去年其他黑客攻击Facebook、苹果和Twitter的开发者。这种黑客通常被称为“浇水洞”攻击,因为像丛林狩猎一样,他们把目标瞄准了他们所知道要访问的地点。Raff在给Ars的一封电子邮件中写道:“

他说,他的推测也得到发现的支持,即只有6500台机器感染了DGA . changer .

这确实是一个很小的数字,这可能表明这种按安装付费服务的目标方式”。不是按数量销售,而是按质量销售,寻找特定的公司(类似于浇水孔的方法)。这可能是他们将有关受感染设备的信息发送回C2服务器的原因(操作系统、处理器数量、是否是虚拟机等)。) .

在周三的博客文章Raff中补充道: 我们目前的分析是没有消息是坏消息。为什么对手会在软件开发人员使用的站点上部署不下载任何内容的恶意软件,然后对其进行工程设计,以便从C2服务器接收更改DGA种子的命令?这是没有道理的——而且[令人担忧。并非所有的对手都是天才,但他们通常都有自己的计划。

Raff说,PHP漏洞期间安装的其他恶意软件标题包括Zeus和zero access僵尸网络使用的恶意软件标题。反病毒提供商卡巴斯基实验室的一名研究人员也表示,这一妥协导致PHP . net访问者下载Tepfer,这是一种特洛伊木马,目前已被35种主要反病毒产品检测到。民航总局。changer在美国拥有最多的电脑,占59 %。澳洲、加拿大和英国是第二大受影响地区,分别为百分之六、百分之五和百分之四。

PHP官员承诺,一旦分析完成,将对违规行为进行全面的事后分析。自从这项妥协被发现以来,整整过去了八个星期,现在是他们履行承诺的时候了。

标题已更新,以将用户更改为访问者。



联系方式丨CONTACT

  • 全国热线:
  • 传真热线:
  • Q Q咨询:
  • 企业邮箱: