针对火狐用户的僵尸网络:Advanced Power
作者: 日期:2013年12月18日 阅:2,819

firefox-browser

火狐用户和电商网站小心了,代号“先进力量”(Advanced Power)的僵尸网络通过一种火狐浏览器恶意插件感染PC,该插件伪装成合法的 Firefox扩展“Microsoft .NET Framework Assistant”,将安装扩展的Firefox用户变成僵尸网络的一部分,在受感染用户访问网站时逐页扫描该网站是否存在SQL注入漏洞。(编者按:通过分布式僵尸网络通过多用户账户访问获得的样本会多得多)

据首次报道该插件的信息安全记者Brian Krebs的博客,Advanced Power已经感染了1.25万个系统。根据恶意软件分析公司Malwr分析,该恶意插件至少从今年5月31日就开始传播。根据Virus Total的的统计,当该恶意软件首次出现时,47个主流杀毒引擎中只有两个成功识别出恶意代码,到今年8月份,能查杀Advanced Power的杀毒引擎增加到了29个。

SQL注入攻击主要针对电商网站

恶意插件程序还包含了窃取密码等敏感信息的功能,但并没有激活。攻击者主要把受感染用户变成一个分布式漏洞扫描平台,自5月至今它共发现了大约1800个存在SQL注入漏洞的网页。Mozilla表示它已经移除了假的Microsoft .NET Framework Assistant扩展。

根据Hold Security的分析,鉴于Advance Power中的一些字符串使用了捷克文,其开发者很可能来自捷克共和国。

根据安全厂商Imperva发布的《2013年web应用攻击报告》,

[wpdm_file id=6]

SQL注入是针对电商网站最主要的攻击手段,电商网站遭受SQL注入攻击的数量是其他行业的两倍。对于电商之外的其他行业的web应用,最主要的攻击手段是跨目录攻击(36%),其次是SQL注入(27%)和跨站脚本(14%),电商网站与其他行业网站遭受的攻击对比如下图:

屏幕快照 2013-12-18 上午11.05.47

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章