KashmirBla劫持了数千个运行在主流CMS平台上的网站

原文《KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站》

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统（CMS）。KashmirBlack活动于2019年11月开始，其目标是WordPress，Joomla！，PrestaShop，Magneto，Drupal，Vbulletin，OsCommerence，OpenCart和Yeager等流行的CMS平台。

Imperva的研究人员表示：“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载，并且使用复杂的方法来伪装自身，使其不被发现并保护自身运行。”

这家网络安全公司对僵尸网络进行了为期六个月的调查，结果显示，该复杂操作由一台命令控制（C2）服务器和60多个代理服务器管理，这些服务器与僵尸网络进行通信以发送新目标，从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。

KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘，并将网站的合法流量重定向到垃圾邮件页面。但是，它也被用来进行defacement攻击。

无论出于何种动机，他们利用PHPUnit RCE漏洞（CVE-2017-9841）用与C2服务器通信的下一阶段恶意有效载荷感染客户。

Imperva的研究人员表示，根据它在一次此类defacement中发现的攻击特征，他们认为僵尸网络是一个名叫Exect1337的黑客的作品，该黑客是印度尼西亚黑客团队PhantomGhost的成员。

KashmirBlack的基础架构很复杂，包括两个单独的存储库，一个用于托管漏洞利用程序和有效负载，另一个用于存储恶意脚本以与C2服务器通信。

僵尸程序本身要么被指定为“传播僵尸程序”（与C2通信以接收感染新受害者的命令的受害者服务器），要么被指定为“待定僵尸程序”（其在僵尸网络中的用途尚待确定）。

尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序，但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。

但是，随着僵尸网络规模的扩大，越来越多的僵尸网络开始从存储库中获取有效负载，他们的基础架构已进行了调整，使其通过添加负载平衡器实体来变得更具可伸缩性，该实体返回新设置的冗余存储库之一的地址。

KashmirBlack的最新版本也许是最阴险的。上个月，研究人员发现僵尸网络使用Dropbox替代了其C2基础架构，滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。

Imperva说：“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量，确保C＆C操作安全的又一步，而且最重要的是，我们很难将僵尸网络追溯到操作背后的黑客。”

消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/