快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

看看印尼黑客怎么样行使片子大片进行收集攻击

收集犯法分子每天都在想绝种种办法来进行攻击,这对于信息安全从业者来说再正常无非了,而这一次印尼收集犯法构造最先行使片子大片来诈骗目标用户走访已受感染的网站。 

1.png

攻击第一步:“招募”僵尸收集

在很多Web攻击中,攻击者会使用已被挟制的网站来作为僵尸收集并实施攻击。由于此次挟制攻击没有发生在受Imperva维护的站点上,所以我们没有第一时间检测到。在很多攻击活动中,攻击都是从主机服务器最先的,工控黑客 ,而且攻击活动中的初始IP地址都属于合法网站的,这是Web攻击者经常使用的一种要领,如许可以更好地隐躲他们的身份,在攻击实现以后他们还会清除所有的攻击痕迹,如许会使得研究人员跟踪攻击者活动变得难上加难。

攻击第二步:从合法网站到蜜罐收集

攻击者在搭建蜜罐收集时需要三个重要组件,第一个就是僵尸收集,第二个是WordPress API中的漏洞,这些漏洞会将WordPress站点暴露在安全危害当中。通过行使API中的漏洞,攻击者将能够修改目标WordPress站点的相干内容。下面给出的是攻击样例:

2.png

虽然WordPress v4.7.3修复了这个漏洞,但很多治理员并不会定期更新他们的Web应用,而攻击者只要要一些简单的客户端伪造手艺就能够绕过Web防御产品的检测,譬如说在攻击活动中使用经常使用的user-agent头:

3.png

攻击实现以后,HTML代码将会被推送至目标站点,下面给出的是HTML攻击代码呈现的内容:

4.png

当目标用户走访了恶意链接以后,他们将成为攻击者的“左膀右臂”。

攻击第三步:“你”的所有信息都回“我”

用户此时已经在走访攻击者的网站了,用户所看到的统统都是攻击者想让他看到的,而用户此时已经在本人的阅读器中运行了攻击者的恶意JavaScript代码。除此之外,还有一种隐蔽性更强的链接伪造要领,即SEO同步,因为恶意网站的链接是从目标站点引流出来的,因此攻击者的网站更有可能抬举SEO排名,而原始目标站点可能会遇到SEO降级的情形。

接下来的攻击情节将朝两个支线剧情发铺。第一个分支,目标用户通过隐躲链接被重定向至攻击者站点,但本文打算忽略这个分支并直接先容另一个更流行的分支:攻击者被“邀请”走访一个伪造的片子网站页面,一般页面中显示的都是如许的片子大片:

5.png

然则当用户点击播放片子视频以后的几秒钟,网站会弹出一个窗口,并让用户实现登录:

6.png

填写了登录表单以后,我们得到了如下信息:

7.png

这个信息弹出时后台并没有加载任何资源,这也就象征着这是一个无效的登录框,而用户输入的账号以及暗码都没有被发到服务器端进行验证。下面显示的是窗口的源代码(JavaScript):

8.png

意思是,点击了登录按钮以后,会有3.5秒的延迟,然后显示“用户名或暗码错误”的信息。

9.png

攻击第四步:拿钱来

要是攻击者尝试注册免费账号,他们将会被重定向到一些广告网站,有的则会被定向到一些带有PayPal支付选项的站点(Google搜索引擎已标记为骗取站点,但已有很多用户已付费),某些用户会被定向到一个名鸣usenet.nl的荷兰网站(宣称公司位于圣马利诺)。根据Alexa.com提供的统计数据,有25%的走访者来自安哥拉,其余用户则来自印度、中国以及印尼等区域。在Google中搜索usenet.nl以后,我们发现这是一个托管恶意广告的站点,而且已经有大批用户举报了这个站点。走访了目标站点以后,用户将被请求走访PayPal账号进行授权,或输入信用卡信息实现支付。

片子大片

下面是攻击活动中出现的20大片子影片:

10.png

其中最受欢迎的是针对未成年人的影片,我们按照岁数将影片分为三大类:幼儿(9岁下列)、儿童(10-14岁)、青少年(14-16)以及成年人:

11.png12.png

总结

我们意想到,收集犯法分子之所以会选择以未成年人为首要目标,是因为这种人群收集安全意识都不强,而且对恶意链接的好奇程度跟成年人相比要更高。

* 参考来源:imperva,Alpha_pck编译,

您可能还会对下面的文章感兴趣: