360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360安全云盤
360隨身WiFi
360搜索
系統急救箱
重裝大師
勒索病毒救助
急救盤
高危漏洞免疫
360壓縮
驅動大師
魯大師
360換機助手
360清理大師Win10
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
360加固保
360貸款神器
360手機瀏覽器
360安全云盤
360免費WiFi
安全客
手機助手
安全換機
360幫幫
清理大師
省電王
360商城
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360互助
信貸管家
360攝像機云臺AI版
360攝像機小水滴AI版
360攝像機云臺變焦版
360可視門鈴
360攝像機云臺1080p
家庭防火墻V5S增強版
家庭防火墻5Pro
家庭防火墻5SV2
家庭防火墻路由器5C
360兒童手表S1
360兒童手表8X
360兒童手表P1
360兒童手表SE5
360智能健康手表
行車記錄儀M310
行車記錄儀K600
行車記錄儀G380
360行車記錄儀G600
兒童安全座椅
360掃地機器人X90
360掃地機器人T90
360掃地機器人S7
360掃地機器人S6
360掃地機器人S5
360安全衛士
360殺毒
360文檔衛士
360安全瀏覽器
360極速瀏覽器
360隨身WiFi
360搜索
系統急救箱
重裝大師
急救盤
勒索病毒救助
360壓縮
驅動大師
魯大師
360游戲大廳
360軟件管家
360手機衛士
360防騷擾大師
手機急救箱
360加固保
360貸款神器
360免費WiFi
安全客
手機助手
一鍵root
安全換機
360幫幫
信用衛士
清理大師
省電王
360商城
流量衛士
360天氣
360鎖屏
手機專家
快剪輯
360影視
360娛樂
快資訊
你財富
360借條
360手機N7
360手機N6
Pro
360手機vizza
360手機N5S
360兒童手表6C
360兒童手表6W
360兒童手表SE2代
360手表SE2Plus
360老人手表
360攝像機大眾版
360安全路由器P3
360安全路由器P2
360兒童機器人
外設產品
影音娛樂
平板電腦
二手手機
二代 美猴王版
二代
美猴王領航版
標準升級版
后視鏡版
車載電器銀狐團伙再出新招,Web漏洞成切入點
關于銀狐
銀狐木馬是一種針對企事業單位管理人員、財務人員、銷售人員及電商賣家進行釣魚攻擊的惡意軟件。該家族木馬主要通過偽裝成與工作相關的文件,如發票、財稅文件等,誘騙用戶點擊下載和執行,從而實現對目標計算機的遠程控制。
銀狐通常利用“查_看_uninstall.exe”、“11月名單.exe”等文件名來針對性地誤導其目標受害群體,并通過QQ、微信等即時通信軟件發送釣魚文件或網站鏈接,最終實現受害用戶的主動執行。
漏洞掛馬
近期,360發現一個被長期跟蹤監控的銀狐木馬團隊在傳播手段上又有了新的變化。除了繼續通過以往的傳播途徑外,該團隊還進一步新增了對政企網站的掛馬攻擊。具體而言,他們是利用了正規網站中所存在的已公開漏洞,將銀狐木馬和釣魚頁面植入到網站中,再進行傳播。這些政企網站就成了銀狐木馬的“傳播源”,被攻擊的網站包括政府網站、企事業單位網站和多家大型國企網站。這些網站的網址,一般會受到聊天軟件和安全軟件的信任,利用這些網站進行掛馬,更容易突破防御進行傳播,也更容易獲得用戶信任。
被攻擊者利用的,主要是Web應用的上傳漏洞。利用圖片,附件等的上傳接口,很多應用對上傳接口檢測不嚴格,對上傳文件的訪問沒有限制,造成攻擊者上傳病毒文件或掛馬頁面,之后獲取到訪問鏈接,就能夠直接傳播和發起攻擊。
目前發現已被利用的網站漏洞有KindEditor、WordPress、UEditor、ThinkPHP等數十款熱門Web應用漏洞。以下360近期發現的一些較為典型的攻擊案例。
利用UEditor漏洞上傳惡意載荷到某博物館頁面
UEditor是國內一款被廣泛使用的Web前端編輯器,但其某些早期版本中存在上傳漏洞,攻擊者則可以利用這些漏洞上傳惡意文件,其中也包括了可被執行的惡意代碼腳本,攻擊者便有機會利用這一點來獲取Web服務器的管理權限。
在我們的檢測數據中,發現國內某博物館的主頁便使用了帶有漏洞的UEditor編輯器,這也導致了其主頁被黑客篡改并植入了銀狐木馬。一旦有用戶訪問該頁面,便會執行惡意鏈接并跳轉到某盤的木馬下載共享鏈接進行木馬下載操作。
由于該網站屬于是正規網站,可信度較高,用戶難免放松警惕執行了木馬,最終導致用戶的機器遭到銀狐木馬的感染和控制。
圖1. 用戶從某博物館頁面下載銀狐木馬載荷?
利用KindEditor漏洞上傳惡意載荷
與UEditor有所區別,另一款廣受青睞的Web前端編輯器KindEditor在某些版本中存在的上傳漏洞僅允許攻擊者可以上傳.txt和.html文件。但這已然存在著可乘之機——因為這些文件可以嵌套暗鏈接或XSS攻擊代碼,所以攻擊者同樣可以通過構造惡意的html文件來實現跳轉、釣魚等惡意行為。
某公司是智慧機器人、智能控制器一體化解決方案的集成商,產品廣泛應用于航天、5G通訊、人工智能、醫療設備、軌道交通、智能衛浴、工業控制、新能源等眾多領域。根據360大數據排查,該公司的網站便是由于使用了帶有漏洞的KindEditor編輯器而導致被攻擊者利用掛載了銀狐木馬,當該公司的客戶或遠控訪問其主頁時,便會下載銀狐木馬到設備中。該網站被植入的惡意載荷列表如圖:
圖2. 被攻擊者通過漏洞植入到服務器中的惡意載荷列表?
同樣,受害用戶會通過被篡改的頁面代碼下載銀狐木馬到本地:
圖3. 訪問者下載銀狐木馬到本地?
更為值得重視的是,被植入到該網站的銀狐木馬還會利用PoolParty注入技術代替常規的代碼注入方法,會在執行后將代碼注入到系統進程中實現駐留,規避安全軟件攔截。并且會修改注冊表啟動項和添加計劃任務進一步增加自身的“生存幾率”。
圖4. 銀狐木馬在受害者設備中啟動?
圖5. 銀狐木馬修改注冊表啟動項
利用ThinkPHP漏洞上傳惡意載荷
與上述的寬頁面編輯器不同,ThinkPHP 是一個流行的 PHP 開發框架,但其某些版本中同樣存在任意文件上傳漏洞——允許攻擊者上傳惡意文件并執行。攻擊者可以利用此漏洞上傳惡意腳本文件,從而獲取服務器的控制權、執行任意代碼,同樣可能導致數據泄露、服務器被入侵等嚴重后果。
360云端大數據發現某直通服務平臺由于使用了V5.0.24版本的ThinkPHP而非當前最新版本,導致被攻擊者利用掛載銀狐木馬,被掛載的銀狐木馬同樣也是通過某網盤的共享鏈接下載到受害者機器中的。
圖6. 某直通服務平臺被攻擊并植入惡意下載鏈接?
略有區別的是該鏈接下載到的是某正規安全終端軟件,該終端提供了遠程控制功能,此功能允許管理員從遠程位置安全地訪問和控制終端計算機,從而進行實時的監控和管理。該安全終端被銀狐木馬團伙惡意利用來實現對受害用戶機器的入侵,從而可以控制用戶機器,竊取機器信息以及進行進一步的惡意行為。
安全提示
針對此類攻擊,安裝有360終端安全客戶端的用戶無需過度擔心,只需正常開啟360客戶端并確保其防護功能生效,其余的只要交給360即可。
圖7. 360攔截對銀狐木馬的攻擊攔截彈窗?
對于這類攻擊,我們向廣大用戶提出以下幾點安全建議:
1.????? 安裝安全軟件并確保其防護功能已被完整開啟,保證安全軟件能有效保護設備免受惡意攻擊;
2.????? 相信安全軟件的判斷,切勿輕易將報毒程序添加至信任區或退出安全軟件;
建議盡可能將網站引用升級到最新版本,并修復已知漏洞。
京公網安備 11000002000006號