据一名安全研究人员称,僵尸网络目前正在使用sql注入攻击工具来攻击合法网站,此举旨在将更多被劫持的电脑加入其收集范围。
专门发送钓鱼垃圾邮件的僵尸网络Asprox正在对其控制的受感染电脑进行更新,乔·斯图尔特他是总部位于亚特兰大的恶意软件研究主管Secureworks今天说。这个更新是一个可执行文件“msscntr32.exe”,它被安装为一个名为“微软安全中心扩展”的Windows服务。
但是可执行文件实际上安装了一个sql注入攻击工具,Stewart说。
随着不法分子越来越多地攻击合法网站,找到攻击方法,然后在这些网站上植入iframe,将用户重定向到恶意服务器,SQL注入攻击变得越来越普遍。这些服务器会悄无声息地攻击访问者的电脑,通常会尝试多种攻击手段,如果其中一个有效,就会下载额外的代码,从合法所有者那里劫持电脑,并将其添加到受感染的系统大军中。
“有很多东西在发动类似的攻击,”斯图尔特在解释为什么人们对该工具的传播方式感到困惑时说。他说,一些分析师错误地得出结论,认为sql注入工具正在使用蠕虫战术。他说:“该工具不会自行传播,而是依靠Asprox僵尸网络传播到新的主机。”
如果仅仅因为sql注入攻击的规模不断扩大,那么分离犯罪分子用来攻击合法网站的多种攻击载体就变得越来越困难了。例如,上个月,a大规模的sql注入攻击泄露了50多万个页面,包括一些由联合国.
在Asprox僵尸网络用msscntr32.exe文件播种它的机器人后,攻击工具启动并使用谷歌谷歌(google inc .)的搜索引擎可以找到潜在的易受攻击的页面。然后使用sql注入攻击攻击这些页面,如果成功,则在站点上植入恶意IFRAME。
访问者被重定向通过一系列的恶意软件托管服务器,尝试一个或多个漏洞来破解个人电脑。如果这样做有效,就会下载并安装一个木马,将其添加到Asprox僵尸网络中;这些被攻击的电脑就会被用来发送更多的网络钓鱼垃圾邮件。
Stewart统计了自周一晚上以来被sql注入攻击工具攻击的1000个网站。这些网站包括小型商业网站、几所小型学院和大学的域名,还有一些由律师事务所托管。大多数都在美国
包括F-Secure Corp.和赛门铁克(Symantec Corp.)在内的其他安全供应商也发现了新的sql注入攻击浪潮的证据。这些公司一直将责任推给中国黑客,他们危害合法网站传播窃取游戏密码的恶意软件。
另外,SANS研究所的互联网风暴中心报告称,黑客已经采取交易各种sql注入攻击工具。
与此同时,IBM旗下互联网安全系统公司(Internet Security System)的研究部门X-Force一直在网络的黑暗角落寻找恶意软件托管网站的数量,这些网站与被sql感染攻击的合法url链接。根据大卫·杜威他的团队每天定期识别20至30个新的托管网站。
杜威说:“有些价格上涨不到一天。“有一次,主机(服务器)不到30分钟就离线了。”X-Force发现的大多数网站似乎都被设计成恶意软件主机,而不是不知情的同谋。
杜威说:“sql注入攻击非常猖獗。“最近的这次高峰并不比之前的更大,但它们是非常大的攻击。”
了解更多关于这个主题的信息
这个故事,“网络钓鱼僵尸网络通过入侵合法网站扩张”最初是由《计算机世界》 .