安裝社群網站外掛,導致漏洞攻擊,日本、台灣相繼傳出災情

在過去幾個禮拜裡,一個被稱為 FlashPack 的漏洞攻擊包一直在攻擊日本的使用者。為了要感染使用者,這漏洞攻擊包並不依賴於垃圾郵件或被駭網站:相對地,它採用了被駭的網站外掛。

使用這外掛的網站所有者是為了加上社群媒體分享按鈕到自己的網站上。網站所有者所要做的就只是在自己的網站設計模版中加入幾行JavaScript程式碼。這程式碼會在外掛網站上免費提供。

加入的腳本會增加如下版面到網站上:

 

圖1、新增的分享按鈕

 

要做到這一點,首頁上的一個JavaScript檔案會被載入。光是這樣就該發出警訊:這代表網站所有者在非其控制的情況下載入來自外部伺服器的腳本。如果它載入的腳本來自受信任網站,如Google、Facebook或其他知名網站是一回事;但載入無名伺服器網站上的腳本又是另外一回事。

而事實證明,這腳本被用於惡意目的。在某些網站上並非執行原有的外掛腳本,而是將使用者重新導向FlashPack的腳本,像這樣:

 

GET http://{add-on domain}/s.js HTTP/1.1

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

Accept: */*

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 115

Connection: keep-alive

Referer: {victimized website}

Host: {add-on domain}

 

上述文字是對外掛腳本的HTTP請求,網址部分被處理過。下面是伺服器的回應:

 

HTTP/1.1 302 Found

Date: Thu, 14 Aug 2014 02:39:45 GMT

Server: Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635

Location: {exploit kit URL}

Content-Length: 386

Connection: close

Content-Type: text/html; charset=iso-8859-1

 

要注意的是,直接載入s.js只會載入「正確」的外掛腳本。如果在Referer標頭發現一個在日本的知名免費部落格網站,則會觸發該漏洞攻擊包。這漏洞攻擊包對目標使用者進行多項Flash漏洞攻擊;其中有一個被用來攻擊的是二月所修補的Flash漏洞(CVE-2014-0497)。我們已經看到有TROJ_CARBERP.YUG被下載到受影響系統上。

這次攻擊本身大量地針對了日本使用者。至少有約66,000名使用者遭受這波攻擊,其中有超過87%來自日本。漏洞攻擊包網頁被代管在捷克、荷蘭和俄羅斯的伺服器。

 

圖2、各國被攻擊數量

使用者和網站所有者該如何防範這類攻擊?網站所有者對於加入依賴外部網站腳本的外掛到自己網站上時要非常的小心。就如這次攻擊所顯示,它們也不免於被惡意活動所利用。此外,它們也會讓網站變慢。最好的作法是載入和網站本身相同伺服器上的腳本。

此事件也強調了使用者幫軟體更新修補程式的重要性。我們在上面所提到的漏洞已經被修補了半年。有多種自動更新機制可以保持Flash在最新狀態。

趨勢科技產品和解決方案會封鎖這些網站和偵測攻擊相關的惡意檔案。此外,趨勢科技端點解決方案內的瀏覽器漏洞防護技術也能夠在第一線來防止這類攻擊。

 

@原文出處:Website Add-on Targets Japanese Users, Leads To Exploit Kit作者:Joseph C Chen(網路詐騙研究員)

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

 

免費下載 防毒軟體 PC-cillin 試用版下載