黑客一直在試圖找到延長(zhǎng)植入代碼在站點(diǎn)上的存活期的方法。存活期是指從攻擊者植入惡意代碼到網(wǎng)站管理員發(fā)現(xiàn)并將其清除的這段時(shí)間。通常,管理員越早發(fā)現(xiàn)惡意代碼,則存活期越短,反之則越長(zhǎng)。
顯然,最簡(jiǎn)單的攻擊方法就是先攻占掛載頁(yè)面的Web服務(wù)器,然后在Web服務(wù)器上面安裝流氓軟件。這些流氓軟件十分狡猾,可以很好的將自己隱藏在服務(wù)器系統(tǒng)中,避開(kāi)站點(diǎn)管理員、安全研究人員或其他黑客的巡查。
網(wǎng)絡(luò)上有許多博客、文章及論壇都出現(xiàn)了售賣各類用于“滲透測(cè)試”黑客工具的相關(guān)信息。Websense的安全專家監(jiān)視了其中一些論壇,他們發(fā)現(xiàn)最近有一批Rootkits工具正在論壇上販賣,這類Rootkits工具可在Web服務(wù)器架設(shè)的站點(diǎn)上植入和隱藏惡意代碼。雖然不法組織只將這些工具出售給了極少數(shù)人,但研究人員、網(wǎng)站管理員和Web服務(wù)器管理員已經(jīng)發(fā)現(xiàn)了它們,并開(kāi)始在安全博客及論壇上展開(kāi)相關(guān)討論。其中,有幾個(gè)論壇的帖子都提到了這樣的現(xiàn)象:同一臺(tái)服務(wù)器上所掛載的不同站點(diǎn)上時(shí)不時(shí)的會(huì)出現(xiàn)一些被植入的惡意iframes代碼段,代碼段中的URL字段會(huì)不斷變化,而網(wǎng)站和Web服務(wù)器的管理員都查不到問(wèn)題所在。(見(jiàn)圖1)
(圖1,管理員們發(fā)帖表示發(fā)現(xiàn)問(wèn)題卻找不到癥結(jié)所在)
據(jù)悉,不法分子只需花一千美元就可以購(gòu)買名為“Apache 2”的流氓模塊。不法分子在廣告中展示了該模塊的部分特性:可將代碼植入php、htm或是js頁(yè)面;只允許特定的IP地址訪問(wèn);可周期性的更新URL鏈接(可配合漏洞攻擊包使用)等。
先將生成的iframes代碼段放一邊,真正值得我們注意的是上面提到的這種流氓模塊。因?yàn)檫@種流氓模塊可以自動(dòng)轉(zhuǎn)為隱藏模式而難以被管理員發(fā)現(xiàn),所以它有很長(zhǎng)的存活期,它能搜集和記錄系統(tǒng)管理員賬號(hào)登錄服務(wù)器所用的IP地址,一旦發(fā)現(xiàn)管理員登錄,它就馬上潛伏起來(lái),不對(duì)管理員顯示惡意iframes代碼段。另外,像tcpdump這樣的檢測(cè)進(jìn)程也會(huì)激活流氓模塊的隱藏模式。而一旦管理員下線或檢測(cè)進(jìn)程終止,惡意代碼又會(huì)開(kāi)始活躍起來(lái),繼續(xù)為害。
流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率。(見(jiàn)圖2)
(圖2,Web服務(wù)器上,流氓Apache模塊提升各種漏洞攻擊包的成功率)
Websense將如何保護(hù)客戶免受這種流氓軟件生成的植入式惡意代碼的威脅呢?
當(dāng)客戶瀏覽被植入惡意代碼的Web站點(diǎn)時(shí),Websense的ACE(高級(jí)分類引擎)專利技術(shù)可實(shí)時(shí)分析Web站點(diǎn),防御任何加載過(guò)程中出現(xiàn)的惡意iframes代碼段。這類流氓Apache模塊根據(jù)不同的參數(shù)來(lái)決定是否顯示植入的惡意內(nèi)容,如根據(jù)IP地址判斷訪問(wèn)者是否是第一次來(lái)訪,或是通過(guò)特定的反向鏈接而來(lái)等。這對(duì)沒(méi)有實(shí)時(shí)監(jiān)控功能的安全解決方案來(lái)說(shuō)是巨大的挑戰(zhàn),而Websense提供的解決方案具有實(shí)時(shí)解析和動(dòng)態(tài)分析的優(yōu)勢(shì),可在發(fā)現(xiàn)植入的惡意代碼后馬上對(duì)頁(yè)面進(jìn)行攔截,以保障客戶擁有安全的網(wǎng)絡(luò)環(huán)境。(見(jiàn)圖3)
(圖3,Websense ACE技術(shù)攔截惡意站點(diǎn))
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:拓步ERP資訊:潛伏型植入代碼為害Web站點(diǎn),Websense實(shí)時(shí)防御輕松攔截
本文網(wǎng)址:http://www.guhuozai8.cn/html/news/1051515451.html
相關(guān)文章
