Compromesso Massa del Obsolete

il suo post è co -autore con Levi Gundert e Andrew Tsonchev .
TRAC -tank - vertical_logo - 300x243
TRAC ha recentemente osservato una grande campagna di web redirect maligno che colpisce centinaia di siti web . Gli aggressori siti legittimi compromessi , inserendo Javascript che reindirizza i visitatori ad altri siti web compromessi . Tutti i server web colpiti che abbiamo esaminato utilizzano il kernel Linux 2.6 . Molti dei server interessati utilizzano versioni del kernel di Linux primo uscito nel 2007 o earlier.It è possibile che gli aggressori hanno identificato una vulnerabilità sulla piattaforma e stato in grado di approfittare del fatto che questi sono vecchi sistemi che non possono essere continuamente modificati da amministratori .
compromise_1
L' attacco stesso avviene in più fasi . Gli attaccanti compromettono un sito web esistente , aggiungere una riga di JavaScript per multipla. Js file ospitati sul sito . Questo fa sì che i visitatori di caricare ed eseguire un nuovo file JavaScript servita da un secondo host compromesso . Utilizzando un processo a due stadi consente agli aggressori di servire una varietà di contenuti dannosi per il visitatore. Abbiamo osservato la seconda fase siti che servono quello che sembra essere pay per view pagine fraudolente , dove il browser del visitatore più carichi annunci a generare entrate per l'attaccante . Tuttavia, vi è evidenza aneddotica che i visitatori sono stati infettati da malware Trojan come parte di questa fase finale .
. La linea allegata ai file js prende la forma di :compromise_2
Due commenti che contengono un esadecimale fianco di riferimento di colore un'istruzione al browser di scaricare JavaScript da un file PHP su un secondo sito Web compromesso . Il nome di questo file PHP segue sempre lo stesso schema : 8 casi di misto caratteri alfanumerici con un parametro che accetta un valore id otto cifre . Il file PHP risponde solo una volta per ogni valore di ID . Se si accede più di una volta , la pagina restituisce un errore 403 Forbidden , comunque dannoso JavaScript è tornato a essere eseguito nel browser del visitatore .
Molti dei padroni di casa colpiti sono stati identificati come compromesso e pulita.compromise_3Un messaggio di risposta esempio da un pulito primo livello host.
Prodotti AV possono rilevare il reindirizzamento JavaScript come simile a quella precedentemente utilizzata nel Blackhole exploit kit. Tuttavia , non abbiamo prove che suggeriscono che questa campagna è legato al Blackhole piuttosto che un esempio di riutilizzo del codice . In effetti, questo potrebbe essere correlato alla rete Mesh identificato da Sucuri .
La velocità di diffusione di questo attacco è stato drammatico , con quasi 400 host distinti siano vittime ogni giorno , il 17 marzo e 18 .compromise_day
Al momento della scrittura , abbiamo individuato in eccesso di 2.700 URL che sono stati utilizzati in questo attacco . Gli aggressori hanno sovvertito , legittimi , siti web esistenti per interessare gli utenti ignari . Campagne di sensibilizzazione di sicurezza che si allenano agli utenti di diffidare di siti web sconosciuti non può essere efficace contro i siti web di fiducia che diventano compromessa a servire malware. Anche se gli utenti della soluzione di Copertura Web Security di Cisco sono protetti da questo tipo di attacco , si osserva che circa 1 su 15 dei nostri clienti hanno avuto almeno un utente che è stato intercettato il tentativo di chiedere un URL interessato.
I server colpiti da attacco sono distribuiti in tutto il mondo , con una incidenza particolarmente elevata in Germania e Stati Uniti .compromise_country
Questo compromesso su larga scala di un sistema operativo di invecchiamento , evidenzia i rischi posti lasciando tali sistemi in funzione. Sistemi che sono più mantenuto o non supportato non sono più patch con gli aggiornamenti di sicurezza . Quando gli aggressori scoprono una vulnerabilità nel sistema , che possono sfruttare a loro piacimento senza timore di esso che è rimedio . Nel mese di aprile 2014, Windows XP sarà supportato . Le organizzazioni hanno urgente bisogno di rivedere il loro uso di sistemi non supportati in funzione. Tali sistemi devono essere aggiornati , ove possibile , o regolarmente monitorati per rilevare compromesso . Le organizzazioni devono considerare la loro esposizione ai rischi dall'uso di sistemi non supportati da partner e fornitori , oltre ai pericoli di utenti che interagiscono con tali sistemi su Internet .
Un gran numero di sistemi privi di patch vulnerabili su Internet sono tentati obiettivi per gli attaccanti . Tali sistemi possono essere utilizzati come piattaforme one-shot monouso per lanciare attacchi . Questo rende ancora più importante che i sistemi di invecchiamento siano adeguatamente mantenuti e protetti .

Corso Cisco - Corso CCNA - Corso Security - Corso CCNA Security - Certificazione Cisco - CCNA 200-120