黑客一直在試圖找到延長植入代碼在站點上的存活期的方法。存活期是指從攻擊者植入惡意代碼到網(wǎng)站管理員發(fā)現(xiàn)并將其清除的這段時間。通常,管理員越早發(fā)現(xiàn)惡意代碼,則存活期越短,反之則越長。
顯然,最簡單的攻擊方法就是先攻占掛載頁面的Web服務(wù)器,然后在Web服務(wù)器上面安裝流氓軟件。這些流氓軟件十分狡猾,可以很好的將自己隱藏在服務(wù)器系統(tǒng)中,避開站點管理員、安全研究人員或其他黑客的巡查。
網(wǎng)絡(luò)上有許多博客、文章及論壇都出現(xiàn)了售賣各類用于“滲透測試”黑客工具的相關(guān)信息。Websense的安全專家監(jiān)視了其中一些論壇,他們發(fā)現(xiàn)最近有一批Rootkits工具正在論壇上販賣,這類Rootkits工具可在Web服務(wù)器架設(shè)的站點上植入和隱藏惡意代碼。雖然不法組織只將這些工具出售給了極少數(shù)人,但研究人員、網(wǎng)站管理員和Web服務(wù)器管理員已經(jīng)發(fā)現(xiàn)了它們,并開始在安全博客及論壇上展開相關(guān)討論。其中,有幾個論壇的帖子都提到了這樣的現(xiàn)象:同一臺服務(wù)器上所掛載的不同站點上時不時的會出現(xiàn)一些被植入的惡意iframes代碼段,代碼段中的URL字段會不斷變化,而網(wǎng)站和Web服務(wù)器的管理員都查不到問題所在。(見圖1)
(圖1,管理員們發(fā)帖表示發(fā)現(xiàn)問題卻找不到癥結(jié)所在)
據(jù)悉,不法分子只需花一千美元就可以購買名為“Apache 2”的流氓模塊。不法分子在廣告中展示了該模塊的部分特性:可將代碼植入php、htm或是js頁面;只允許特定的IP地址訪問;可周期性的更新URL鏈接(可配合漏洞攻擊包使用)等。
先將生成的iframes代碼段放一邊,真正值得我們注意的是上面提到的這種流氓模塊。因為這種流氓模塊可以自動轉(zhuǎn)為隱藏模式而難以被管理員發(fā)現(xiàn),所以它有很長的存活期,它能搜集和記錄系統(tǒng)管理員賬號登錄服務(wù)器所用的IP地址,一旦發(fā)現(xiàn)管理員登錄,它就馬上潛伏起來,不對管理員顯示惡意iframes代碼段。另外,像tcpdump這樣的檢測進程也會激活流氓模塊的隱藏模式。而一旦管理員下線或檢測進程終止,惡意代碼又會開始活躍起來,繼續(xù)為害。
流氓Apache模塊軟件的作者甚至在網(wǎng)上發(fā)布了該流氓軟件配合各種漏洞攻擊包的成功率。(見圖2)
(圖2,Web服務(wù)器上,流氓Apache模塊提升各種漏洞攻擊包的成功率)
Websense將如何保護客戶免受這種流氓軟件生成的植入式惡意代碼的威脅呢?
當(dāng)客戶瀏覽被植入惡意代碼的Web站點時,Websense的ACE(高級分類引擎)專利技術(shù)可實時分析Web站點,防御任何加載過程中出現(xiàn)的惡意iframes代碼段。這類流氓Apache模塊根據(jù)不同的參數(shù)來決定是否顯示植入的惡意內(nèi)容,如根據(jù)IP地址判斷訪問者是否是第一次來訪,或是通過特定的反向鏈接而來等。這對沒有實時監(jiān)控功能的安全解決方案來說是巨大的挑戰(zhàn),而Websense提供的解決方案具有實時解析和動態(tài)分析的優(yōu)勢,可在發(fā)現(xiàn)植入的惡意代碼后馬上對頁面進行攔截,以保障客戶擁有安全的網(wǎng)絡(luò)環(huán)境。(見圖3)
(圖3,Websense ACE技術(shù)攔截惡意站點)
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:拓步ERP資訊:潛伏型植入代碼為害Web站點,Websense實時防御輕松攔截