恶意代码注入合法网站事件给Web用户敲警钟
2018-07-30日前,Websense安全实验室监测到一场大规模恶意代码注入攻击正在不断袭击合法网站,已经有上万个合法网站受到攻击,无数的Web用户受到感染。Websense提醒用户提高警惕,预防此类威胁,此外,Websense Messaging和Websense Web安全用户可免受该攻击。media-servers被袭击并被注入恶意代码
Websense安全实验室ThreatSeeker™网络监测到:media-servers.net网站被袭击并被注入恶意代码,该网站隶属于一家知名的互联网广告商。被攻破后,该网站的用户将在登陆时毫不察觉的自动下载一个恶意脚本,该脚本将运行一系列的漏洞检测代码,为最终将一个名为“file.exe”的文件安装到用户电脑中,该文件能够从其他恶意站点运行在用户的Window主目录下,目前,该文件被的AV(反病毒)检出率极低。Websense发现此次攻击只是一场正在持续中的大规模的注入攻击的冰山一角,Websense安全实验室追踪此攻击已经数月。
图1:media-servers.net被注入恶意代码
Websense安全实验室主管Carl Leonard表示:“这类攻击针对网站的漏洞发起,犯罪分子一旦找到漏洞,就会加以利用并在网站中注入恶意脚本代码,网站用户在不知情的情况下就会遭受攻击,而防病毒软件对此并不起作用,当前40家的反病毒公司中只有能两家能够在恶意文件一旦被下载到用户电脑中时及时地检出。Websense给用户的建议是,采取实时保护措施,实时保护将在第一时间保护用户远离威胁,避免感染和制止其蔓延。“
新加波外汇市场官方网站也遭遇恶意代码攻击
无独有偶,Websense安全实验室最新发现新加波外汇市场官方网站以同样的方式并被注入恶意代码。该注入代码是一个内嵌框架重定向器(iframe redirector),它会自动访问一个分发恶意文件的地址。此文件在写入时的反病毒检出率仅为18%。该网站所服务的新加坡外汇市场委员会致力于促进新加坡金融市场的发展,是一个重要的国际的外汇、货币,固定收入和金融衍生工具中心,与本土和全球的金融市场密切关联,此次注入攻击对其影响极其恶劣。
图2:新加波外汇市场官方网站被注入恶意代码
Websense致力于为用户提供实时的Web安全服务。利用ThreatSeeker™ Network和HoneyGrid™技术,结合honeyclients、honeypots、名誉机制和自学习机制,Websense对全球互联网威胁进行实时监测,并将防范措施推送给全球客户,其独一无二的可视能力能够帮助全球用户体验Web应用安全。