看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

攻击第一步:“招募”僵尸网络

在很多Web攻击中,攻击者会使用已被劫持的网站来作为僵尸网络并实施攻击。由于此次劫持攻击没有发生在受Imperva保护的站点上,所以我们没有第一时间检测到。在很多攻击活动中,攻击都是从主机服务器开始的,而且攻击活动中的初始IP地址都属于合法网站的,这是Web攻击者常用的一种方法,这样可以更好地隐藏他们的身份,在攻击完成之后他们还会清除所有的攻击痕迹,这样会使得研究人员跟踪攻击者活动变得难上加难。

攻击第二步:从合法网站到蜜罐网络

攻击者在搭建蜜罐网络时需要三个重要组件,第一个就是僵尸网络,第二个是WordPress API中的漏洞,这些漏洞会将WordPress站点暴露在安全风险之中。通过利用API中的漏洞,攻击者将能够修改目标WordPress站点的相关内容。下面给出的是攻击样例:

虽然WordPress v4.7.3修复了这个漏洞,但很多管理员并不会定期更新他们的Web应用,而攻击者只需要一些简单的客户端伪造技术就能够绕过Web防御产品的检测,比如说在攻击活动中使用常用的user-agent头:

攻击完成之后,HTML代码将会被推送至目标站点,下面给出的是HTML攻击代码呈现的内容:

当目标用户访问了恶意链接之后,他们将成为攻击者的“左膀右臂”。

攻击第三步:“你”的所有信息都归“我”

用户此时已经在访问攻击者的网站了,用户所看到的一切都是攻击者想让他看到的,而用户此时已经在自己的浏览器中运行了攻击者的恶意JavaScript代码。除此之外,还有一种隐蔽性更强的链接伪造方法,即SEO同步,因为恶意网站的链接是从目标站点引流出来的,因此攻击者的网站更有可能提升SEO排名,而原始目标站点可能会遇到SEO降级的情况。

接下来的攻击情节将朝两个支线剧情发展。第一个分支,目标用户通过隐藏链接被重定向至攻击者站点,但本文打算忽略这个分支并直接介绍另一个更流行的分支:攻击者被“邀请”访问一个伪造的电影网站页面,一般页面中显示的都是这样的电影大片:

但是当用户点击播放电影视频之后的几秒钟,网站会弹出一个窗口,并让用户完成登录:

填写了登录表单之后,我们得到了下列信息:

这个信息弹出时后台并没有加载任何资源,这也就意味着这是一个无效的登录框,而用户输入的账号和密码都没有被发到服务器端进行验证。下面显示的是窗口的源代码(JavaScript):

意思是,点击了登录按钮之后,会有3.5秒的延迟,然后显示“用户名或密码错误”的信息。

攻击第四步:拿钱来

如果攻击者尝试注册免费账号,他们将会被重定向到一些广告网站,有的则会被定向到一些带有PayPal支付选项的站点(Google搜索引擎已标记为诈骗站点,但已有很多用户已付费),某些用户会被定向到一个名叫usenet.nl的荷兰网站(声称公司位于圣马利诺)。根据Alexa.com提供的统计数据,有25%的访问者来自安哥拉,其余用户则来自印度、中国和印尼等地区。在Google中搜索usenet.nl之后,我们发现这是一个托管恶意广告的站点,而且已经有大量用户举报了这个站点。访问了目标站点之后,用户将被要求访问PayPal账号进行授权,或输入信用卡信息完成支付。

电影大片

下面是攻击活动中出现的20大电影影片:

其中最受欢迎的是针对未成年人的影片,我们按照年龄将影片分为三大类:幼儿(9岁以下)、儿童(10-14岁)、青少年(14-16)和成年人:

总结

我们意识到,网络犯罪分子之所以会选择以未成年人为主要目标,是因为这类人群网络安全意识都不强,而且对恶意链接的好奇程度跟成年人相比要更高。

* 参考来源:imperva,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM、

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java学习网

程序员编程的 7 + 1 条小贴士

程序员编程的 7 + 1 条小贴士 1.编码之前想一想 用10分钟,20分钟甚至30分钟的时间来想想你需要什么,想想什么样的设计模式(如果有的话)适合你将要编码...

3028
来自专栏FreeBuf

借鸡生蛋:DNF恶意外挂登陆器分析

? 前言 有江湖的地方就有纷争,同样有游戏的地方也就有外挂。对于DNF(地下城与勇士)这款在国内运营了接近10年的老牌端游,大家一定不会感到陌生。由于运营时...

2556
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1263
来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

33710
来自专栏PHP在线

PHP7的优缺点及从当前版本升级到PHP7都遇见了哪些坑

优点就是快,相比5.6有一倍的提升,也有很多方便的新特性,缺点是目前相关的扩展支持还不完善,很多扩展(非官方)坑不少,万一踩到由于内核变化,很多人调试起来可能不...

5196
来自专栏gaoqin31

Linux例行性工作排程 (crontab)

crontab是Unix和Linux用于设置周期性被执行的指令,是互联网很常用的技术,很多任务都会设置在crontab循环执行,如果不使用crontab,那么任...

933
来自专栏极客编程

8个写完以后就可以让你成为顶尖开发者的有趣应用程序

只有不断的努力才能成为伟大的开发人员。想象一下 ——你不能通过阅读大量关于健身,成为一个身体健康的人。你实际上需要去健身房,把时间和汗水放进去!同样的概念也适...

3121
来自专栏FreeBuf

记录一次利用业务设计漏洞的精彩实战测试

上次的那篇文章《一名代码审计新手的实战经历与感悟》得到了不少读者的支持,也得到了FreeBuf这个平台的肯定,这给了我这个菜的不能再菜的小菜鸟很大的信心。但是,...

983
来自专栏安恒信息

新型Web劫持技术现身,专攻搜索引擎

近期,安全机构截获了一例利用script脚本进行Web劫持的攻击案例,在该案例中,黑客利用一批新闻页面重置了搜索引擎页面,并将搜索结果替换为自己制作的...

3795
来自专栏嵌入式程序猿

C8051F060单片机在数字电源控制器中的应用

引言 随着科技的发展,数字控制系统的应用越来越广泛。以前的模拟电源控制系统线路复杂,控制精度低,故障率高。因此开发全数字电源控制系统越来越重要。微控制器,微处理...

3136

扫码关注云+社区

领取腾讯云代金券