一種“有趣”的新型攻擊手段被安全人員發(fā)現(xiàn)。安全人員認為，這種新型手段是對特定目標投放惡意軟件的全新攻擊手段。

這種手段被稱為路過登錄(Drive-by-login)。路過下載(Drive-by downloads)可以在用戶訪問惡意頁面時對其注入惡意軟件，這種新手段與之類似。不過，在路過登錄攻擊中，攻擊者在用戶可能登錄的網(wǎng)站中嵌入惡意代碼。這些惡意代碼被用于向特定目標注入惡意軟件，而并非所有網(wǎng)頁訪問者。

High-Tech Bridge公司在收到一家名為Central European的在線商店報告后對該攻擊方式展開了調(diào)查。用戶發(fā)現(xiàn)在登錄這家企業(yè)的網(wǎng)站時會被試圖注入惡意軟件。最初，研究人員認為這只是一次假陽性事件，因為他們并沒有發(fā)現(xiàn)網(wǎng)站有任何注入惡意軟件的企圖。然而進一步的調(diào)查分析表明，這是一種精心安排的定向攻擊。

這家在線商店使用osCommerce Online Merchant v2.3.4平臺，該版本發(fā)布于2014年六月。在企業(yè)服務器上，研究人員發(fā)現(xiàn)了針對osCommerce的后門文件，文件名“ozcommerz_pwner.php.bak”。

這個后門將自己的惡意代碼和osCommerce平臺“/includes/application_bottom.php”路徑下的腳本文件綁定在一起，在用戶使用特定IP或注冊郵箱加載網(wǎng)站時會執(zhí)行一種名為任意遠程載入的惡意軟件。

為了不引起安全人員注意，該后門會重置其所綁定腳本的時間戳，使文件看上去并沒有被改動。一旦惡意軟件注入成功，該后門會自動抹去綁定在application_bottom.php腳本上的內(nèi)容，以防止被調(diào)查人員發(fā)現(xiàn)。

在調(diào)查人員分析的這起事件中，后門已經(jīng)清除了腳本的相關(guān)信息，不過安全專家們還是在該后門的一份備份文件中找到了惡意代碼。

該后門并未被任何反病毒軟件探測為有害，它的功能是在特定IP或登錄郵箱訪問網(wǎng)站時向其注入惡意軟件。

注入過程并不是直接的。它會讓受害者重定向到一個常用的黑客工具包，并通過最近已經(jīng)被修復的Adobe Flash Player漏洞對受害者進行注入。

在這起事件中，黑客也竊取了在線商店的數(shù)據(jù)庫。該網(wǎng)站使用了脆弱的第三方插件，很容易被入侵。

研究人員表示，路過登錄攻擊是非常危險的，因為實施攻擊并不需要任何社會工程學，進而不能通過培訓員工來防御。攻擊者只需要入侵一個目標有可能會訪問的網(wǎng)站，并搜尋可以將目標分離出來的相關(guān)信息。類似的信息并不難獲取，因為用戶在社交網(wǎng)絡和其它網(wǎng)站上披露的信息十分充分。

路過登錄攻擊的另一個威脅在于很難被偵測到，因為它們只向特定用戶投放惡意軟件。

惡意軟件探測策略可能會一無所獲，因為后門并不會向掃描網(wǎng)站的爬蟲注入惡意軟件。惡意軟件只針對特定用戶注入，只有這個用戶才能察覺到攻擊。

安全專家表示，解決該威脅的最佳方式是部署一個復雜的文件完整性監(jiān)控策略，確保Web服務器打上最新的補丁并正確配置，并定期執(zhí)行滲透測試。

路過式登錄攻擊意味著今后沒有網(wǎng)站會是百分百安全的。任何網(wǎng)站，不論它的大小和功能，都有可能成為復雜的針對性入侵的受害者。它開啟了安全網(wǎng)站世界的末日。

研究小組的負責人表示，他并不認為路過登錄會被用于進行大規(guī)模攻擊。但他堅信未來這類針對“VIP受害者”的攻擊將會增多。

原文地址：http://www.aqniu.com/tools/7340.html