KashmirBla劫持了数千个运行在主流CMS平台上的网站
原文《KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站》
该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。
Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。”
这家网络安全公司对僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。
KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘,并将网站的合法流量重定向到垃圾邮件页面。但是,它也被用来进行defacement攻击。
无论出于何种动机,他们利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。
Imperva的研究人员表示,根据它在一次此类defacement中发现的攻击特征,他们认为僵尸网络是一个名叫Exect1337的黑客的作品,该黑客是印度尼西亚黑客团队PhantomGhost的成员。
KashmirBlack的基础架构很复杂,包括两个单独的存储库,一个用于托管漏洞利用程序和有效负载,另一个用于存储恶意脚本以与C2服务器通信。
僵尸程序本身要么被指定为“传播僵尸程序”(与C2通信以接收感染新受害者的命令的受害者服务器),要么被指定为“待定僵尸程序”(其在僵尸网络中的用途尚待确定)。
尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序,但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。
但是,随着僵尸网络规模的扩大,越来越多的僵尸网络开始从存储库中获取有效负载,他们的基础架构已进行了调整,使其通过添加负载平衡器实体来变得更具可伸缩性,该实体返回新设置的冗余存储库之一的地址。
KashmirBlack的最新版本也许是最阴险的。上个月,研究人员发现僵尸网络使用Dropbox替代了其C2基础架构,滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。
Imperva说:“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量,确保C&C操作安全的又一步,而且最重要的是,我们很难将僵尸网络追溯到操作背后的黑客。”
消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 明确权责为基层减负 4950333
- 2 直击神舟十八号航天员出征 4969364
- 3 丈夫称妻子爬山失联主动发求救信息 4807937
- 4 逐梦苍穹 揽月九天 4788502
- 5 老人被宠物狗撕咬 手中握刀不舍得砍 4603888
- 6 贾跃亭称已偿还100多亿美金 4551501
- 7 济南母女黄河边失踪 母亲遗体被找到 4451905
- 8 夫妻养2.8万只鸡 为省人工自己捡蛋 4360548
- 9 深圳部分区域将取消限购不实 4243754
- 10 人民网评种地要交钱:灯不拨不明 4137884