當前位置:
首頁 > 新聞 > 鍵盤記錄器用法新姿勢:挖礦

鍵盤記錄器用法新姿勢:挖礦

Sucuri的研究人員最近發現了超過2000個WordPress站點又被黑客攻擊,用來挖掘門羅幣。

根據分析,這次黑客是用鍵盤記錄器的辦法來實施的攻擊,這與2017年12月初發生的5500個WordPress站點被竊取用戶名密碼和信用卡數據的技術非常類似。攻擊過程很簡單,攻擊者首先要找到不安全的WordPress網站,這些網站通常是運行較老的WordPress版本或較舊的主題和插件,然後黑客利用這些網站的漏洞將惡意代碼注入到CMS的源代碼中。

在管理員登錄的頁面,惡意代碼會載入託管在第三方域的鍵盤記錄器,運行鍵盤記錄器後,受影響網站的網頁表單上的任何信息都將被偷偷地發送給攻擊者,從而竊取用戶的登錄憑證。如果攻擊者得到了網站管理員的憑據,那他們就可以不依靠漏洞就能進入該網站。然後攻擊者就會通過運行這些網站,大量佔用用戶的CPU來挖礦。

攻擊從2017年4月就現端倪了

Sucuri追蹤發現這並不是一種新型的攻擊,cloudflare.solutions這個惡意軟體自2017年4月被發現以來,就一直很活躍,且技術不斷迭代。目前cloudflare.solutions域名上至少有3種不同的惡意腳本,最早的一個是2017年4月份出現的,攻擊者利用惡意的JS文件在被黑的網站上嵌入廣告。

2017年11月的時候,攻擊者就改變了攻擊的策略,將惡意腳本偽裝成假的jQuery和Google Analytics JS文件,這實際上是Coinhive瀏覽器內的加密貨幣挖礦機。截止去年黑客除了保留加密貨幣挖礦機腳本外,還添加了keylogger組件。

根據PublicWWW的2017年的數據分析,惡意腳本至少存在於5496個站點中。

在2017年12月8日,安全研究人員曾發布過關於這款鍵盤記錄器惡意軟體的文章,幾天後,存放惡意腳本的域名被下線。然而,這不是惡意軟體戰鬥的終點,攻擊者立即又註冊了多個域名,包括:在12月8日註冊了cdjs[.]online,在12月9日註冊了cdns[.]ws,12 月16日註冊了msdns[.]online。根據PublicWWW的數據分析,有超過2000個站點正在從這三個域載入腳本。

源碼搜索引擎PublicWWW已經確定了一些受感染的網站:受cdns[.]ws感染的有129個,受cdjs[.]online感染的有103個,但是大部分網站可能還沒有被索引。自2017年12月中旬以來,msdns[.]online已經感染了上千個網站,但大多數都是來自已經被入侵的網站的再感染。

在攻擊中使用的注入腳本

在過去的一個月里,這種攻擊使用了多種注入腳本:

hxxps://cdjs[.]online/lib.js

hxxps://cdjs[.]online/lib.js?ver=…

hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…

hxxps://msdns[.]online/lib/mnngldr.js?ver=…

hxxps://msdns[.]online/lib/klldr.js

cdjs[.]online腳本不僅被注入到WordPress資料庫中(wp_posts表),還被注入到主題的functions.php文件中,因為該文件是wordpress主題中的標準文件,不會引起懷疑。

Sucuri的研究人員還擔心,並不是所有受影響的網站都被收錄在PublicWWW中,實際受害者的數量可能會更大。

三個惡意的IP地址

已經確定這個新的攻擊是利用以下3個伺服器:

185.209.23.219(cdjs[.]online或3117488091,在這裡仍然可以找到keylogger的cloudflare[.]solutions版本)

185.14.28.10(或3104709642,仍然保留hxxp//185.14.28.10/lib/jquery-3.2.1.min.js?v=3.2.11的cryptominer和cloudflare[.]solutions版本的鍵盤記錄器hxxp//185.14.28.10/lib/kl.js)

107.181.161.159(cdns [.] ws和msdns [.]online,它提供了新版本的挖礦器和鍵盤記錄器)

緩解措施

雖然本次的攻擊不及去年12月份的那次攻擊規模,但再感染率表明仍然有許多網站即使在攻擊後還沒有做好保護措施,有些網站可能都沒有注意到之前的感染。

所以,你需要從主題的functions.php中刪除惡意代碼,掃描wp_posts表以發現可能的注入,修改所有WordPress密碼,並更新所有伺服器軟體,包括第三方的主題和插件。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

你是第幾個領取的人?

TAG:嘶吼RoarTalk |