目前已经出现一类恶意软件,旨在利用暴力密码破解攻击突破WordPress及Joomla等利用高人气内容管理系统的网站,同时也开始将矛头指向电子邮件及FTP服务器。
目前已经出现一类恶意软件,旨在利用暴力密码破解攻击突破WordPress及Joomla等利用高人气内容管理系统的网站,同时也开始将矛头指向电子邮件及FTP服务器。
这款恶意软件名为FortDisco,而且已经被DDoS攻击防御供应商Arbor一攀琀眀漀爀欀猀氀司记录在案,目前感染的Windows计算机估计超过25000台——对WordPress、Joomla以及DatalifeEngine网站管理员账户密码的影响范围也达到6000个以上。
一旦计算机受到感染,该恶意软件会定期连接到命令与控制(简称C&C)服务器进行指令检索,其中通常包含数千网站及密码列表、时刻尝试访问其管理员账户。
FortDisco恶意软件似乎正处于不断变化当中,一直在打理Abuse.ch僵尸网络追踪服务的瑞士安全研究员表示。“深入剖析之后,我发现了这种特定恶意软件的一份样本,其目的在于以暴力方式攻击POP3而非WordPress证书,”他在本周一的博文中指出。
Post伀昀昀椀挀攀倀爀漀琀漀挀漀氀瘀攀爀猀椀漀渀3(简称POP3)允许电子邮件客户端与邮件服务器连接并检索来自现有账户中的信息。
这种特殊FortDisco变种所采用的C&C服务器会根据自己的对应MX记录(邮件交换记录)回复域名列表。这项MX记录详细列举了哪些服务器处理特定域中电子邮件服务。
C&C服务器还提供了一套标准化电子邮件账户列表——通常是管理员、信息及支持账户——恶意软件借此对密码进行暴力破解,Abuse.ch服务的维护人员表示。
“我们与Shadowserver(一个专门追踪僵尸网络的安全组织)的工作人员进行了探讨,他们报告称它利用的是同样的方式对FTP证书进行暴力破解,”他解释称。
针对WordPress及其它流行内容管理系统等常见网站的暴力密码破解攻击多种多样,但它们通常利用的是托管在流氓服务器上的Python或Perl脚本,研究人员指出。而在这种新型恶意软件的威胁下,网络犯罪分子创造了一种指向大量设备及POP3与FTP服务器的攻击机制,他总结称。
