近年来许多僵尸网络攻击锁定物联网设备,但这次黑客下手的目标,是采用内容管理平台(CMS)的网站。近期网页应用程序防火墙企业Imperva,披露一个自2019年11月出现的僵尸网络KashmirBlack,黑客锁定多款知名的网站内容管理系统下手,攻击的范围遍及30个国家,而其中大部分的目标仍是美国网站。
黑客控制了这些网站服务器后,有些他们植入挖矿软件XMRig,滥用这些网站服务器来挖取门罗币,有些则是用发送垃圾信,以及篡改网页(Defacement)等。Imperva甚至发现,黑客运用部分受害主机来当做僵尸网络的基础架构。
为了研究僵尸网络KashmirBlack的攻击手法,Imperva在密罐构建了网站来吸引它们发动攻击,结果其中1个被篡改成如图中的钓渔网页。
根据他们的分析,黑客攻击的目标并非锁定单一网站内容管理系统,而是至少有9种,包含WordPress、Joomla、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart,以及Yeager等,黑客利用它们的漏洞来进一步控制网站服务器。研究人员指出,由于许多采用内容管理系统的网站缺乏维护,不会即时安装官方推出的修补程序,虽然黑客利用的漏洞不少极为老旧,但还是奏效。
这个僵尸网络运用了那些漏洞呢?根据Imperva列出的17项漏洞来看,不少漏洞允许攻击者远程执行任意程序代码(RCE),或者是与上传任意文件有关。再者,有些漏洞则是能让黑客通过暴力破解密码,以及指令注入等。而这些漏洞不少存在已久,甚至有的超过10年以上。例如,单元测试工具PHPUnit的RCE漏洞CVE-2017-9841,虽然它在2017年才被列管,但实际上存在超过10年之久。
究竟有多少网站遭到这个僵尸网络摆布?研究人员指出,他们看到KashmirBlack有285个机器人,每个机器人单日发动攻击的对象,平均为240台主机(或是3,450个网站)不等。如果有1%的主机被攻陷,那么每天就有700个主机成为受害者。换言之,从这个僵尸网络运行近11个月,迄今保守估计至少有23万个网站服务器成为受害者。然而,Imperva指出,他们关注到的机器人IP地址,应该不是全部,实际受害的网站数量,恐怕远大于上述数字。
对于幕后操控KashmirBlack的黑客,研究人员通过IP地址寻线追查,认为是印尼黑客组织PhantomGhost所为。
再者,为了藏匿攻击行动,他们也看到黑客滥用常见的公有云服务,包含了GitHub、Dropbox,以及Pastebin等,目的要能向已感染的服务器下达额外指令,而不被安全防护系统发现。