針對內容管理系統 (CMS) 漏洞的自動化攻擊,訪客將感染 CryptXXX 勒索病毒

趨勢科技 TrendMicro 中小企業資安, 企業資安, 勒索病毒/勒索軟體

7 月 19 日,許多企業網站都因遭到駭客入侵而開始散布勒索病毒 Ransomware (勒索軟體/綁架病毒),所有瀏覽這些網站的訪客全都遭殃。根據報導,瓜地馬拉官方旅遊網站 Dunlop Adhesives 以及其他正常的網站都遭到同樣的攻擊。

根據報導,這些網站都遭到了某個稱為 SoakSoakBotnet傀儡殭屍網路或類似專門針對內容管理系統 (CMS) 漏洞的自動化攻擊。這些受到攻擊的網站會將訪客導向某個惡意網站,惡意網站會試著在使用者電腦上安裝 2016 年 4 月首次被發現的 CryptXXX 勒索病毒家族,此病毒具備反制虛擬機器與反制資安軟體分析的躲避偵測功能。

SoakSoak 殭屍網路在找到含有未修補漏洞的網站之後,就會在網站中插入重新導向的腳本程式碼,藉此將訪客重導至另一個含有 Neutrino 漏洞攻擊套件的網站,這是一個地下市場上販賣的「商用」惡意程式安裝套件。

在這次的最新案例當中,Neutrino 漏洞攻擊套件會檢查端點裝置是否安裝了任何資安軟體或 Flash Player 除錯工具。根據該部落格的說法,若裝置上未安裝這些程式,攻擊套件就會開啟一個指令列介面程式 (command shell) 並透過 Windows Script Host 腳本執行程式從其幕後操縱 (C&C) 伺服器下載勒索病毒到電腦上。

當正常網站遭到毒化

這樣的手法早已不是什麼新聞,駭客一直在利用各種惡意廣告來駭入正常網站,並利用其他技巧來將使用者引導至漏洞攻擊套件。遭到駭客入侵的網站會將使用者重導至含有漏洞攻擊套件的網站。在大多數情況下,駭客之所以能輕易駭入這些網站,是因為其伺服器使用的是含有未修補漏洞的 CMS 軟體。2015 年 11 月,趨勢科技即曾經撰文揭露第一個利用 Angler 漏洞攻擊套件經由遭到入侵的網站感染訪客電腦的 ElTest 攻擊行動。我們發現,該行動至少成功入侵了 1,500 個網站,並且利用這些網站來散布 Cryptesla 勒索病毒 (趨勢科技命名為:RANSOM_CRYPTESLA.YYSIX)。ElTest 攻擊行動通常會在其駭入的網頁當中插入一個 SWF 物件,此物件會載入一個 Flash 檔案並在網頁安插一個隱藏的 iFrame 來將使用者重導至含有漏洞攻擊套件的網站。

ElTest 並非唯一專門針對網站漏洞的攻擊行動,我們還見過許多其他的行動專門攻擊採用 WordPress、Joomla 及 Drupal 這類知名內容管理系統的網站。遭到入侵的網站大多是因為使用了含有未修補漏洞的內容管理系統或第三方熱門附加元件。

[延伸閱讀:Joomla 和 WordPress 套裝軟體不斷遭到殭屍網路攻擊]

含有未修補漏洞的內容管理系統:唾手可得的目標

過去幾年來,內容管理系統 (CMS) 已有長足進步。今日的 CMS 平台功能豐富,介面直覺好用,不論一般使用者或企業都能很方便地發布數位內容。因此,企業紛紛採用 CMS 平台來發揮這類發布系統所帶來的方便性,尤其是需要快速修改網站內容、讓不同使用者協同作業、針對不同訪客提供客製化內容時。

不幸的是,絕大多數第三方元件,如:外掛程式、主題、自訂附加元件等等,都會讓 CMS 平台很容易出現安全漏洞,進而招來網路攻擊。也正因為這些綜合因素,駭客相對地能夠不費吹灰之力就入侵這些網站,進而影響廣大的網站使用者。此外,由於這些受害網站的知名度頗高,網路犯罪集團只需攻擊這些網站 CMS 元件的未修補露洞,就能迅速海撈一票,最近的案件即是一例。

降低風險

為了防範這類攻擊,我們建議網站管理員應隨時將 WordPress 這類內容管理系統升級到最新版本,以確保所有已知漏洞皆確實修補,這一點可以從 WordPress 的儀表板上達成。趨勢科技Deep Security提供了惡意程式防護與網站信譽評等,還有網路層次的入侵防護 (IDS/IPS) 可防堵未修補的漏洞,同時再搭配防火牆在每一台伺服器周圍築起一道客製化邊境防護。除此之外,更提供了系統層次的防護,包括:可確保法規遵循的檔案與系統一致性監控,以及可發掘並通報重要資安事件的記錄檔檢查。在端點防護方面,趨勢科技 Vulnerability Protection 漏洞防護可在修補程式套用之前預先攔截已知及未知的漏洞攻擊,靠著入侵特徵規則來防範已知的漏洞攻擊,在不影響網路吞吐量、效能以及使用者生產力的情況下保護端點,防範作業系統和一般應用程式遭到已知及未知的漏洞攻擊。

原文出處:When Vulnerable Sites Go Bad: Hijacked Websites Found Serving Ransomwar



cloudsec FB banner

 

大型企業 》
中小企業 》
一般用戶 》

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

ZH-TW_wtp

 

PCC TL 20160905

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
勒索病毒MongoLock變種不加密,直接刪除檔案,再格式化備份磁碟,台灣列為重大感染區