https://twcert2024.informationsecurity.com.tw/

觀點

新殭屍網路攻擊,專找部落格與內容管理網站下手

2013 / 08 / 12
編輯部
新殭屍網路攻擊,專找部落格與內容管理網站下手

網路安全公司Arbor Networks最近發布一份報告指出,最近發現一個新的殭屍網路攻擊,稱為Fort Disco,專門鎖定部落格和內容管理系統(CMS)網站,一旦電腦不慎遭到感染,也將開始散布殭屍病毒並攻擊其他系統。

 

Arbor Networks的研究分析人員Matthew Bing指出,Fort Disco約從2013年五月底開始進行,目前仍在進行中。該殭屍網路由超過2.5萬台的Windows電腦組成,目前已經發現有六台用來控制殭屍電腦的C&C伺服器。

 

然而,別於過去許多殭屍網路鎖定一般個人電腦,Fort Disco專門鎖定部落格和CMS網站。以CMS網站為例,包括JoomlaWordPress等網站都已受害,截至目前為止,則有超過6千個JoomlaWordPressDatalife Engine的安裝程式,成為密碼破解下的受害者。

 

報告中也進而分析,Fort Disco使用了至少四種的變種Windows病毒,而這些病毒似乎來自於被稱之為惡意軟體即服務(malware-as-a-service)Styx Exploit kit攻擊套件中。被Fort Disco的殭屍病毒感染的電腦,會採取密碼暴力攻擊(brute-force)手法,入侵採用PHP的部落格和內容管理網站。至於惡意軟體安裝和感染的確切手法目前仍在調查中。

 

資安專家指出,約從去年開始,觀察到許多殭屍網路從家用電腦轉向商用伺服器。而Fort Disco之所以專門找部落格和內容管理網站的伺服器下手,很可能是基於以下三大理由:

 

第一,相較於一般家用電腦的網路其頻寬有限,部落格和內容管理網站多傾向採用資料中心的服務,因此,其網路頻寬較大,意即攻擊者只需感染較少的電腦,就獲得較大的網路流量,讓攻擊者具有更大的攻擊力道,而這種手法很適合用在大量的垃圾郵件和DDoS攻擊。

 

其次,這類型的網站主要都設計成互動性的模式,因此,一但網站被感染,該網站就可以被用向使用該網站的用戶進行偷渡式(drive-by)下載或水坑式(waterhole)攻擊。

 

最後,許多部落格營運商通常都不是安全專家,而且採用較弱的密碼保護機制,因此讓攻擊者較容易得逞。