新發現的惡意軟件針對Magento電商,并具備自恢復功能,可在被刪除后恢復自身。
自恢復惡意軟件不是什么新鮮事物,近30年前就有類似威脅被曝光。這第一例自恢復惡意軟件名為“揚基曲( Yankee Doodle,非正式美國第二國歌 )”,是一款駐留內存的木馬,可感染.com和.exe文件。該惡意軟件于1989年9月被發現,只要進駐內存,便會在每天下午5點鐘播放《揚基曲》。
最近剛被發現的Magento電商惡意軟件,使用了數據庫觸發器來在被刪除時恢復自身:每次觸發新指令,注射進去的SQL代碼都將搜索被感染Magento安裝,只要沒找到該惡意軟件,就再添加一次。該惡意軟件利用SQL存儲過程來實現該操作。
據分析了該威脅的研究人員稱,感染點是對/rss/catalog/notifystock/的暴力攻擊,也就是被入侵電商沒有完全補上補丁的地方。
該惡意軟件會讓之前的清除流程無效化,因為從被感染記錄中清除掉惡意代碼并不能保證感染從此消除。常規清除流程只對普通的JavaScript惡意軟件有效,畢竟普通JavaScript惡意軟件通常只注入到數據庫中靜態HTML定義的頭部或尾部。
新發現的惡意軟件,則會確保自恢復觸發器在每個新指令執行時,都會被執行一遍。“查詢會檢查該惡意軟件在頭部、尾部、版權和每個內容管理軟件(CMS)塊中的存在情況,如果沒發現其存在,就會重新添加一遍自身。”安全研究人員解釋稱。
發現該惡意軟件的安全研究人員認為,如今,惡意軟件檢測應包含進數據庫分析,因為文件掃描已不再有效。“該發現顯示出,我們遭遇了惡意軟件進化的新階段。”
雖然Magento和一些社區擴展包含了合法觸發器,Magento商店的擁有者應該能夠通過搜索可疑SQL代碼,來檢測該惡意軟件,比如包含有admin、.js或HTML標簽‘<’的一些東西。
該研究人員更新了其惡意軟件掃描器以檢測該新模式,并提供了Magento安裝中發現可疑代碼后的清除指南。網站測試社區MageReport.com也更新了該新模式的信息。
京公網安備 11010502049343號