12月13日消息，奇安信威脅情報(bào)中心發(fā)布技術(shù)分析，稱包括CSDN在內(nèi)的多個(gè)網(wǎng)站遭到掛馬，用來(lái)傳播木馬病毒和釣魚(yú)網(wǎng)站，攻擊者可能通過(guò)上游CDN廠商發(fā)動(dòng)攻擊。

黑客通過(guò)利用CDN向使用該CDN的網(wǎng)站進(jìn)行投毒，用戶訪問(wèn)時(shí)則可能被帶到釣魚(yú)網(wǎng)站并誘導(dǎo)下載惡意軟件。

奇安信從9月初觀察到相關(guān)惡意域名訪問(wèn)量陡增，但直到9月底都未發(fā)現(xiàn)可疑的payload，只有一些奇怪的js腳本。

到了10月底，惡意payload程序開(kāi)始出現(xiàn)，包括偽裝成更新程序和Flash等的木馬病毒，攻擊者甚至模仿Chrome瀏覽器的報(bào)錯(cuò)頁(yè)面制作了證書(shū)更新的釣魚(yú)網(wǎng)站。

研究人員注意到，請(qǐng)求惡意程序的Referer都是CSDN網(wǎng)站正常的博客內(nèi)容，確認(rèn)CSDN遭到掛馬，并成功復(fù)現(xiàn)了相關(guān)情況。

被掛馬的不只有CSDN，還有其他行業(yè)網(wǎng)站乃至地方政府網(wǎng)站，奇安信推測(cè)這些網(wǎng)站使用的某CDN提供商可能遭到攻擊，黑客通過(guò)CDN側(cè)直接向網(wǎng)站加載惡意腳本，再通過(guò)惡意腳本投放釣魚(yú)網(wǎng)站和木馬病毒。

目前，奇安信的的全線產(chǎn)品已經(jīng)支持對(duì)此類攻擊的精確檢測(cè)，對(duì)具體分析過(guò)程感興趣的可以點(diǎn)此查看。

黑白

文章內(nèi)容舉報(bào)