管理系統漏洞沒修,國際許願基金會網站被黑植入挖礦程式碼
黑客們一直在竊取國際許願基金會網站訪問者的CPU週期。Trustwave的研究人員發現CoinIMP挖掘指令碼嵌入了這個非營利性網站,同時指令碼還利用了Drupalgeddon 2漏洞。
研究人員在許願基金會的網站上發現了從5月起一直活躍的密碼系統。該網站隸屬於基金會在美國的分支機構。
“犯罪分子嵌入指令碼試圖利用網站的強大算力挖掘加密貨幣,從而讓自己擁有“真實的財富”。但他們卻在節日季來臨之前對準的不是其他任何人,而是慈善網站,這實在是一種恥辱,未免顯得太low。”rustwave的安全研究員Simon Kenin說。
CoinIMP礦工基於JavaScript工作,經常被別有用心的人利用,這些人常祕密地將程式碼嵌入到網站中,還使用它在網站訪問者的手機、平板電腦或計算機上挖掘門羅幣。
根據Kenin的說法,攻擊利用了Drupal線上釋出平臺的未修補漏洞和 3月份修補的 Drupalgeddon 2漏洞。有調查顯示,用於託管採礦指令碼的域名'drupalupdates.tk'是自2018年5月開始在野外開發Drupalgeddon 2的活動的一部分,雖然關鍵遠端程式碼執行Bug(CVE-2018-7600)的補丁已經存在數月,但許多站點尚未更新並且仍然容易受到攻擊。事實上,截至6月份,超過115,000個網站仍然容易受到攻擊。
這種祕密挖礦活動極難被發現,因為它使用了不同的技術來避免靜態檢測。例如,它首先更改承載JavaScript挖掘器的域名(它本身就是混淆的)。然後,根據Trustwave,Socket/">WebSocket代理還使用不同的域和IP來避免黑名單解決方案。
Kenin表示他聯絡了基金會官方,但是始終沒有得到迴應,不過注入的指令碼已經從網站上刪除了。與此同時,Kenin警告,需要更新以drupal為基礎的網站,否則將面臨被同攻擊行為威脅的風險。
Drupalgeddon 2並不是網路犯罪分子用來感染惡意劫持惡意軟體的唯一攻擊媒介,密碼劫持現象如此廣泛,有時很難判斷網站是否感染了惡意軟體,或者網站所有者是否真正添加了挖掘程式碼。尤其對於小型網站,它們可能會使用加密技術來獲取合法的收入來源,但它們保護自己網站的能力可能也有限,這可能會讓它們面臨密碼破解的風險。
宣告:本文來自黑客視界,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。