SafeGroup
Niektóre polskie strony rozsyłają szkodniki - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Inne (https://safegroup.pl/forum-15.html)
+--- Wątek: Niektóre polskie strony rozsyłają szkodniki (/thread-11542.html)



Niektóre polskie strony rozsyłają szkodniki - ichito - 03.08.2018

Na AVLab ciekawa i ważna informacja na temat autorskich badań nad rozprzestrzenianiem szkodników przez niektóre polskie strony...poniżej podsumowanie niejako

Cytat:Od marca 2018 zhackowano na świecie 33707 serwerów Apache, Nginx, IIS, w tym 21450 serwerów ciągle rozprzestrzenia prawdziwe malware. I tak:
- 461 stron jest zlokalizowanych w Polsce pod domenami .pl, .com.pl, .net, .edu.pl, .org i domenami regionalnymi.
- Zainfekowano jedną domenę cbr.gov.pl, która jest ciągle blokowana przez niektóre antywirusy, chociaż zagrożenie zostało już usunięte -przez administrację lub przez autorów włamania.
- 98% zainfekowanych stron w Polsce posiada domenę .pl.
- Niektóre strony zawierają więcej niż jednego wirusa.
- Ze stron na terytorium Polski pobraliśmy 2410 próbek złośliwego oprogramowania. Nie wszystkie próbki były dostępne w dniu pobierania, tj. 2 sierpnia 2018 roku, dlatego ich faktyczna liczba jest niemożliwa do oszacowania. A więc pobraliśmy:
1225 zainfekowanych dokumentów Word, które zawierało makrowirusy.
9 archiwów ZIP zawierało w środku „faktury” JavaScript i VBS.
2 zainfekowane arkusze kalkulacyjne Excel.
27 plików binarnych.
55 plików HTML (najprawdopodobniej część z służy do wyświetlania różnych informacji na zhackowanej stronie).  
6 bibliotek DLL podszywających się pod pliki graficzne. Wszystkie zawierają takie trojany bankowe.
447 plików wykonywalnych EXE (wszystkie są zainfekowane).
632 pliki o zamaskowanych rozszerzeniach, np. nazwa.exe.1, nazwa.doc.2, które też zaliczamy do kategorii różnego rodzaju wirusów.
Kilka programów na Androida pod postacią plików APK.
Kilka plików instalacyjnych MSI dla Windows.
Łącznie pobraliśmy z zainfekowanych polskich stron 2410 próbek szkodliwego oprogramowania, ale nie to jest najgorsze. Nie posiadamy takich statystyki i prawdopodobnie nikt nie posiada, dlatego biorąc pod uwagę zdobytą wiedzę, podejrzewamy, że nawet 99% zainfekowanych stron internetowych ma swoje źródło nie w celowym ataku amatorskiej lub profesjonalnej grupy hakerów, ale przede wszystkim w publicznie dostępnych skanerach podatności oraz gotowych do zaimplementowania exploitów. Dzięki nim przeszukiwanie podatności i przełamywanie zabezpieczeń jest łatwiejsze niż kiedykolwiek wcześniej. Wczoraj pisaliśmy o narzędziach i technikach, z których korzystają prawdziwi hakerzy, a teraz grzechem byłoby nie wspomnieć o jeszcze jednej zależności, która zdecydowanie ułatwia napastnikom osiągnięcie sukcesu. Mianowicie są to nieaktualizowane moduły oraz silniki stron internetowych.

Wśród zainfekowanych 461 stron internetowych, które są umiejscowione na terenie Polski, większość nie posiada najnowszej wersji Wordpressa, Joomli lub autorskiego silnika, a część zawiera więcej niż jeden niezaktualizowany moduł systemu. Ów witryny możemy skatalogować do branży informatycznej, rolniczej, odzieżowej, prywatnych klinik medycznych, budowlanych, hotelowych, prywatnych blogów i innych.
 

[Aby zobaczyć linki, zarejestruj się tutaj]