转载

一种新型的针对式入侵手法－－“路过登录”

一种“有趣”的新型攻击手段被安全人员发现。安全人员认为，这种新型手段是对特定目标投放恶意软件的全新攻击手段。

这种手段被称为路过登录（Drive-by-login）。路过下载（Drive-by downloads）可以在用户访问恶意页面时对其注入恶意软件，这种新手段与之类似。不过，在偷渡登录攻击中，攻击者在用户可能登录的网站中嵌入恶意代码。这些恶意代码被用于向特定目标注入恶意软件，而并非所有网页访问者。

High-Tech Bridge公司在收到一家名为Central European的在线商店报告后对该攻击方式展开了调查。用户发现在登录这家企业的网站时会被试图注入恶意软件。最初，研究人员认为这只是一次假阳性事件，因为他们并没有发现网站有任何注入恶意软件的企图。然而进一步的调查分析表明，这是一种精心安排的定向攻击。

这家在线商店使用osCommerce Online Merchant v2.3.4平台，该版本发布于2014年六月。在企业服务器上，研究人员发现了针对osCommerce的后门文件，文件名“ozcommerz_pwner.php.bak”。

这个后门将自己的恶意代码和osCommerce平台“/includes/application_bottom.php”路径下的脚本文件绑定在一起，在用户使用特定IP或注册邮箱加载网站时会执行一种名为任意远程载入的恶意软件。

为了不引起安全人员注意，该后门会重置其所绑定脚本的时间戳，使文件看上去并没有被改动。一旦恶意软件注入成功，该后门会自动抹去绑定在application_bottom.php脚本上的内容，以防止被调查人员发现。

在调查人员分析的这起事件中，后门已经清除了脚本的相关信息，不过安全专家们还是在该后门的一份备份文件中找到了恶意代码。

该后门并未被任何反病毒软件探测为有害，它的功能是在特定IP或登录邮箱访问网站时向其注入恶意软件。

注入过程并不是直接的。它会让受害者重定向到一个常用的黑客工具包，并通过最近已经被修复的Adobe Flash Player漏洞对受害者进行注入。

在这起事件中，黑客也窃取了在线商店的数据库。该网站使用了脆弱的第三方插件，很容易被入侵。

研究人员表示，偷渡登录攻击是非常危险的，因为实施攻击并不需要任何社会工程学，进而不能通过培训员工来防御。攻击者只需要入侵一个目标有可能会访问的网站，并搜寻可以将目标分离出来的相关信息。类似的信息并不难获取，因为用户在社交网络和其它网站上披露的信息十分充分。

偷渡登录攻击的另一个威胁在于很难被侦测到，因为它们只向特定用户投放恶意软件。

恶意软件探测策略可能会一无所获，因为后门并不会向扫描网站的爬虫注入恶意软件。恶意软件只针对特定用户注入，只有这个用户才能察觉到攻击。

安全专家表示，解决该威胁的最佳方式是部署一个复杂的文件完整性监控策略，确保Web服务器打上最新的补丁并正确配置，并定期执行渗透测试。

偷渡式登录攻击意味着今后没有网站会是百分百安全的。任何网站，不论它的大小和功能，都有可能成为复杂的针对性入侵的受害者。它开启了安全网站世界的末日。