流量安全分析:通过WordPress系统感染的网络勒索事件分析

围观次数:496 views

1.    背景

现在,互联网上很多网站都是基于WordPress内容管理系统来开发的,安全问题也随之而来。研究人员发现,现在有大量的WordPress 网站会向网站访问者悄悄发送勒索软件,其中以TeslaCrypt 最为臭名昭著。

本文将通过网络流方式展现被恶意代码注入的wordpress网站的攻击方式。

用户访问受到感染的网站浏览被恶意代码注入的js页面,打开数据会话流。

 

 

1

从会话流分析出用户请求的JS页面最后写入加密后恶意JS代码。主要作用是将访问用户重定向到exploit服务器。通过分析总结代码特征以window[“\x64\x6f开始以join(\"\");"));结束。

2

3

referer字段看出从www.pdcmemphis.com重定向过来的。

4

响应数据内容发现Expolit漏洞利用代码使用了高度混淆的js代码来躲避IPS/WAF等产品检测。

5

AnglerEK发送经过加密TeslaCrypt payload使用户主机感染。

守望者实验室提醒用户及时更新Flash软件到最新版本。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助