新版iframe掛馬攻擊手段篡改上百萬網頁
安全研究人員丹徹‧丹切夫(Dancho Danchev)本月初報告的一例網路攻擊事件目前已蔓延到了100多萬個網頁,其中不乏一些知名網站.

  據國外媒體報導,丹切夫週五在博客中表示:“該攻擊事件中受影響的網頁及受影響網站的知名度都有所見漲.”據他透露,受到攻擊的知名網站包括USAToday.com、Target.com和Walmart.com等.

  目前,該網路攻擊事件的製造者尚未攻破伺服器,但他卻利用網頁程式設計錯誤將惡意程式碼嵌入相關網站內部搜尋引擎的搜索結果之中.

  攻擊者所實施的攻擊路徑如下:攻擊者利用網站內部的搜尋引擎搜索某一熱門關鍵字,比如“帕里斯‧希爾頓”,然而將一個HTML指令綁定到這一搜索結果中. 這樣,受害用戶在打開上述“問題”搜索結果時,其流覽器會在後臺打開一個受害用戶無法查覺的內嵌框架(iframe)視窗,並將訪問路徑定向至一個惡意網站,訪問該惡意網站時就會在受害者電腦上安裝一些虛假的反間諜軟體或Zlob木馬軟體.

  為了提高在穀歌搜索結果中的排名,一些網站通常會保存搜索結果,並將其提交給穀歌搜尋引擎.而當使用者使用穀歌關鍵字搜索時,上述緩存搜索結果已自動彈出,部分搜索結果已綁定了惡意程式碼.

  “惡意攻擊者將網站內部搜尋引擎的搜索結果綁定惡意程式碼之後,這些搜索緩存結果就被加入穀歌搜尋引擎,並且相關結果連結甚至可能進入穀歌的前十條搜索排名,從而所有點擊相關搜索結果的用戶都可能中招.”丹切夫接受採訪時表示.

  他表示相信,經過攻擊者的上述手法綁定了惡意程式碼的網頁已達100萬個以上.

  “攻擊者提交的帶惡意腳本的關鍵字越多,包含關鍵字的網頁越多,相關網站的搜索排名也越靠前.”丹切夫表示.這意味著,用戶在點擊一些知名網站上託管的搜索結果時也完全可能會打開一個惡意網頁.

  丹切夫認為,網站加大對站內搜尋引擎的搜索請求的監控,事先將包含惡意程式碼的結果進行過濾,這樣可以大大減少此類攻擊的影響範圍.
  越來越多的惡意駭客正想方設法將惡意程式碼安裝到一些具有較高信譽的知名網站,安全廠商在監控中發現,最近幾周有成百上千萬的網頁遭到上述類似攻擊手法的篡改.