针对 Magento利用SQL自愈的恶意软件被发现
安全研究人员发现了一款针对 Magento有自愈能力的恶意软件。
自我疗愈的恶意软件并不是新出现的,这种威胁据报告第一次发布是近三十年前,Yankee Dood,1989 年 9 月被发现的内存驻留软件,可以感染.com 和.exe 文件。这款恶意软件如果它是在内存中,会在 每一天17:00 演奏曲子"Yankee Doodle"。
eBay投资的电子商务系统Magento在全球范围内一共有超过240000个商家,是广受赞誉的全球最优秀的电子商务系统,然而就是这样一个使用者众多的平台却屡屡遭受黑客攻击。
这次被 Jeroen Boersma发现的恶意软件使用数据库触发器来恢复自己。它利用 SQL 存储过程,每一次新命令执行,被注入 SQL 代码的Magento会进行搜索,如果没有找到恶意软件,SQL代码将重新添加该恶意软件。
Willem de Groot分析了该恶意软件,并支持它主要感染点在/rss/catalog/notifystock/。目前清除进程对该软件无能为力,被删除的恶意代码并不会消失,且能够自行恢复。对于基于Javascript 的恶意软件,通常通过定义在数据库中的静态页眉或页脚 HTML 注入的可以有效,但对于该恶意软件,确保自愈的触发器执行每次一个新的操作都将检测该恶意软件是否存在于页眉、 页脚、 版权或 CMS ,如不存在,将自动添加。
安全研究人员de Groot认为,该恶意软件检测应该包括数据库分析,因为文件扫描已不再有效。这也是他遇到的第一个写在SQL中的恶意软件。Magento 企业和一些社区应该通过搜索可疑的 SQL 代码,检测恶意软件(包括js、 脚本或 < (html 标签))。
文章来源公众号【malwarebenchmark】
这次被 Jeroen Boersma发现的恶意软件使用数据库触发器来恢复自己。它利用 SQL 存储过程,每一次新命令执行,被注入 SQL 代码的Magento会进行搜索,如果没有找到恶意软件,SQL代码将重新添加该恶意软件。
Willem de Groot分析了该恶意软件,并支持它主要感染点在/rss/catalog/notifystock/。目前清除进程对该软件无能为力,被删除的恶意代码并不会消失,且能够自行恢复。对于基于Javascript 的恶意软件,通常通过定义在数据库中的静态页眉或页脚 HTML 注入的可以有效,但对于该恶意软件,确保自愈的触发器执行每次一个新的操作都将检测该恶意软件是否存在于页眉、 页脚、 版权或 CMS ,如不存在,将自动添加。
安全研究人员de Groot认为,该恶意软件检测应该包括数据库分析,因为文件扫描已不再有效。这也是他遇到的第一个写在SQL中的恶意软件。Magento 企业和一些社区应该通过搜索可疑的 SQL 代码,检测恶意软件(包括js、 脚本或 < (html 标签))。
文章来源公众号【malwarebenchmark】关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
公众号精选
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平主席的G20峰会时间 7975565
- 2 一个金镯子省出1200元 金价真跌了 7941343
- 3 高三女生酒后被强奸致死?检方回应 7846195
- 4 二十国集团里约峰会将会卓有成效 7795463
- 5 俄导弹击中乌水电站大坝 7664544
- 6 孙颖莎王艺迪不敌日本削球组合 7597681
- 7 国乒男队多场比赛遭遇一轮游 7436408
- 8 马夫儿子回应父亲猥亵女驴友 7310071
- 9 73岁王石独自带娃被偶遇 7268000
- 10 智慧乌镇点亮数字经济新未来 7141169
