2013年8月9日 星期五

研究:新型殭屍網路Fort Disco 鎖定攻擊部落格與內容管理系統網站(CMS)

研究:新型殭屍網路Fort Disco 鎖定攻擊部落格與內容管理系統網站(CMS)

網際網路安全公司Arbor Security研究報告指出,出現一個名為Fort Disco的全新殭屍網路,其由2.5萬台Windows PC所組成,並且專門鎖定攻擊部落格網站與內容管理系統(CMS)。一旦遭到感染,便會淪為散播殭屍網路惡意軟體的打手,並攻擊其他系統。

padlock-security-protection-hacking-370x229.jpg
Arbor安全工程暨回應小組(ASERT)研究分析師Matthew Bing表示:「Arbor ASERT已追蹤到一宗惡意活動,我們稱之為Fort Disco,該活動起於2013年5月底,並且一直持續活躍到現在。我們已偵測出6個與之相關的C&C主控網站,其控制了超過2.5萬台受劫持的Windows機台。截至目前,有超過6,000個Joomla、WordPress與Datalife Engine安裝程式淪為密碼破解下的受害者。」

Arbor Networks已確定出,Fort Disco殭屍網路至少採用了4種不同變種的Windows惡意程式。這些變種似乎輪番地出自於安全專家Brian Krebs所謂的高階「惡意程式即服務」(Malware-as-a-Service)類型之Styx Exploit漏洞攻擊套件中。藉由該套件,便可對Windows PC發動各類型惡意攻擊。

被Fort Disco感染與劫持的Windows系統,會運用暴力式密碼破解手法,入侵採用PHP的部落格及內容管理系統。該殭屍網路已在幾近800個PHP網站中,安裝十分普遍常見的「FileMan」PHP後門變種程式。

所有受感染系統會依序受到6個位於俄羅斯與烏克蘭境內C&C主控網站的控制。不過,目前Fort Disco僅僅散播感染Windows PC,以及有安全弱點的部落格與內容管理系統網站而已。

資料來源:ZDNet
轉載自《網路資訊雜誌》