Websense轻松拦截潜伏型植入代码Web站点

黑客一直在试图找到延长植入代码在站点上的存活期的方法。存活期是指从攻击者植入恶意代码到网站管理员发现并将其清除的这段时间。通常,管理员越早发现恶意代码,则存活期越短,反之则越长。

显然,最简单的攻击方法就是先攻占挂载页面的Web服务器,然后在Web服务器上面安装流氓软件。这些流氓软件十分狡猾,可以很好的将自己隐藏在服务器系统中,避开站点管理员、安全研究人员或其他黑客的巡查。

网络上有许多博客、文章及论坛都出现了售卖各类用于“渗透测试”黑客工具的相关信息。Websense的安全专家监视了其中一些论坛,他们发现最近有一批Rootkits工具正在论坛上贩卖,这类Rootkits工具可在Web服务器架设的站点上植入和隐藏恶意代码。虽然不法组织只将这些工具出售给了极少数人,但研究人员、网站管理员和Web服务器管理员已经发现了它们,并开始在安全博客及论坛上展开相关讨论。其中,有几个论坛的帖子都提到了这样的现象:同一台服务器上所挂载的不同站点上时不时的会出现一些被植入的恶意iframes代码段,代码段中的URL字段会不断变化,而网站和Web服务器的管理员都查不到问题所在。(见图1)

 

 

(图1,管理员们发帖表示发现问题却找不到症结所在)

据悉,不法分子只需花一千美元就可以购买名为“Apache 2”的流氓模块。不法分子在广告中展示了该模块的部分特性:可将代码植入php、htm或是js页面;只允许特定的IP地址访问;可周期性的更新URL链接(可配合漏洞攻击包使用)等。

先将生成的iframes代码段放一边,真正值得我们注意的是上面提到的这种流氓模块。因为这种流氓模块可以自动转为隐藏模式而难以被管理员发现, 所以它有很长的存活期,它能搜集和记录系统管理员账号登录服务器所用的IP地址,一旦发现管理员登录,它就马上潜伏起来,不对管理员显示恶意 iframes代码段。另外,像tcpdump这样的检测进程也会激活流氓模块的隐藏模式。而一旦管理员下线或检测进程终止,恶意代码又会开始活跃起来, 继续为害。

流氓Apache模块软件的作者甚至在网上发布了该流氓软件配合各种漏洞攻击包的成功率。(见图2)

(图2,Web服务器上,流氓Apache模块提升各种漏洞攻击包的成功率)

Websense将如何保护客户免受这种流氓软件生成的植入式恶意代码的威胁呢?

当客户浏览被植入恶意代码的Web站点时,Websense的ACE(高级分类引擎)专利技术可实时分析Web站点,防御任何加载过程中出现的恶意 iframes代码段。这类流氓Apache模块根据不同的参数来决定是否显示植入的恶意内容,如根据IP地址判断访问者是否是第一次来访,或是通过特定 的反向链接而来等。这对没有实时监控功能的安全解决方案来说是巨大的挑战,而Websense提供的解决方案具有实时解析和动态分析的优势,可在发现植入 的恶意代码后马上对页面进行拦截,以保障客户拥有安全的网络环境。(见图3)

(图3,Websense ACE技术拦截恶意站点)