针对 Magento利用SQL自愈的恶意软件被发现
安全研究人员发现了一款针对 Magento有自愈能力的恶意软件。
自我疗愈的恶意软件并不是新出现的,这种威胁据报告第一次发布是近三十年前,Yankee Dood,1989 年 9 月被发现的内存驻留软件,可以感染.com 和.exe 文件。这款恶意软件如果它是在内存中,会在 每一天17:00 演奏曲子"Yankee Doodle"。
eBay投资的电子商务系统Magento在全球范围内一共有超过240000个商家,是广受赞誉的全球最优秀的电子商务系统,然而就是这样一个使用者众多的平台却屡屡遭受黑客攻击。
这次被 Jeroen Boersma发现的恶意软件使用数据库触发器来恢复自己。它利用 SQL 存储过程,每一次新命令执行,被注入 SQL 代码的Magento会进行搜索,如果没有找到恶意软件,SQL代码将重新添加该恶意软件。
Willem de Groot分析了该恶意软件,并支持它主要感染点在/rss/catalog/notifystock/。目前清除进程对该软件无能为力,被删除的恶意代码并不会消失,且能够自行恢复。对于基于Javascript 的恶意软件,通常通过定义在数据库中的静态页眉或页脚 HTML 注入的可以有效,但对于该恶意软件,确保自愈的触发器执行每次一个新的操作都将检测该恶意软件是否存在于页眉、 页脚、 版权或 CMS ,如不存在,将自动添加。
安全研究人员de Groot认为,该恶意软件检测应该包括数据库分析,因为文件扫描已不再有效。这也是他遇到的第一个写在SQL中的恶意软件。Magento 企业和一些社区应该通过搜索可疑的 SQL 代码,检测恶意软件(包括js、 脚本或 < (html 标签))。
文章来源公众号【malwarebenchmark】
这次被 Jeroen Boersma发现的恶意软件使用数据库触发器来恢复自己。它利用 SQL 存储过程,每一次新命令执行,被注入 SQL 代码的Magento会进行搜索,如果没有找到恶意软件,SQL代码将重新添加该恶意软件。
Willem de Groot分析了该恶意软件,并支持它主要感染点在/rss/catalog/notifystock/。目前清除进程对该软件无能为力,被删除的恶意代码并不会消失,且能够自行恢复。对于基于Javascript 的恶意软件,通常通过定义在数据库中的静态页眉或页脚 HTML 注入的可以有效,但对于该恶意软件,确保自愈的触发器执行每次一个新的操作都将检测该恶意软件是否存在于页眉、 页脚、 版权或 CMS ,如不存在,将自动添加。
安全研究人员de Groot认为,该恶意软件检测应该包括数据库分析,因为文件扫描已不再有效。这也是他遇到的第一个写在SQL中的恶意软件。Magento 企业和一些社区应该通过搜索可疑的 SQL 代码,检测恶意软件(包括js、 脚本或 < (html 标签))。
文章来源公众号【malwarebenchmark】关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
![李杨璐 看帅哥美女啥的还蛮解压[嘻嘻] ](https://imgs.knowsafe.com:8087/img/aideep/2022/1/5/3f2fcb9439d22f1ee202ec38476855cb.jpg?w=250)
公众号精选
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 落子西部 4962958
- 2 雷军拿奖学金时发誓要1万倍奉还 4993446
- 3 李强会见特斯拉CEO马斯克 4873754
- 4 各地经济发展方案“定制化” 4789079
- 5 重庆燃气:对有问题收费已全面清退 4649575
- 6 李想赠送雷军一台L6 Max 4501588
- 7 3人卖假玲娜贝儿玩具超2000万获刑 4416061
- 8 干咳不发烧男子被确诊罕见肺炎 4330636
- 9 黑色餐具不能用?上海官方辟谣 4294396
- 10 周鸿祎迈巴赫990万元被拍下 4137477
