資安研究人員指出,全球約有 25 萬商家採用的 Magento開放原始碼電子商務內容管理系統 (CMS) 平台,日前傳出至少有上千個採用該平台架設的網站遭駭客使用暴力破解方式入侵,不僅竊取了信用卡資料,更在系統上安裝虛擬貨幣挖礦惡意程式。然而,駭客在這些攻擊當中並未用到任何漏洞。
[延伸閱讀:KimcilWare 勒索病毒攻擊 Magento 網站]
此事件當中的 Magento 網站是遭駭客使用一些常見、已知、或預設的帳號密碼來登入系統。經驗老道的駭客會利用腳本來將其攻擊自動化 (也就是所謂的「字典式攻擊」)。駭客一旦入侵了網站,就會在其核心檔案 (也就是應用程式記憶體內容的時點快照) 當中注入惡意程式碼,進而存取處理付款/信用卡資料的網頁。他們會攔截並竊取網站伺服器所收到和處理的敏感資料。 繼續閱讀
資安研究人員發現了一種可避開 Microsoft Code Integrity Guard (CIG) 程式碼完整性保護機制的攻擊技巧,將惡意程式庫注入受 CIG 保護的應用程式和執行程序,例如 Microsoft Edge 瀏覽器。
CIG 是從 Windows 10 和 Windows Server 2016 開始導入的一項程式碼保護機制,屬於 Device Guard 裝置保護機制的一環,Microsoft 的 Edge 瀏覽器即支援 CIG。第三方軟體廠商也可在自己的應用程式當中加入 CIG 機制。支援 CIG 的應用程式只能載入 Microsoft 和 Windows Store 簽署的動態連結程式庫 (DLL) 和二進位檔案,如此可防止應用程式被注入不肖的程式碼。此外,CIG 也可攔截銀行木馬程式在瀏覽器 (如 Edge) 內顯示網路釣魚內容的程式碼。
[資訊安全指南:如何防範網頁注入]
這個稱為「CIGslip」的攻擊技巧能避開 CIG 的保護機制,不需在系統記憶體內注入未經簽署的程式碼。惡意程式可利用 CIGslip 的技巧模仿正常 DLL 載入執行程序的方式來避開 CIG 的保護。接著,將無 CIG 保護的執行程序內部的惡意程式碼載入受 CIG 保護的執行程序當中,這就是駭客將其程式碼注入應用程式的方式。 繼續閱讀