最近幾個月,幾項調查發現 404錯誤頁面使用的新趨勢 用於傳播惡意軟體,尤其是在 Linux 和 Windows 系統上。這種方法允許網路犯罪分子將有效載荷隱藏在看似無害的頁面上,使得使用傳統的網路分析和過濾系統難以檢測到它們。
該 操縱錯誤頁面 它們已經成為攻擊者發起加密劫持活動和其他威脅的有效工具,利用網路暴露的伺服器和服務中的配置缺陷。 這種技術對安全團隊來說是一個額外的挑戰,因為惡意內容隱藏在常見的 HTML 標籤中,大多數靜態掃描程式都無法被偵測到。
感染如何透過修改後的 404 頁面進行
這些活動的核心通常是 從受控域請求虛假錯誤頁面的載入程序 攻擊者利用該頁面的自訂書籤中隱藏的自身程式碼,包含一個Base64編碼區塊,該區塊在受害者係統的記憶體中解密,這使得掃描磁碟中可疑檔案的傳統防毒軟體很難偵測到入侵。
在的情況下,中 Linux感染過程始於一個簡單的命令,該命令從遠端伺服器下載並執行一個腳本。該腳本負責從電腦中刪除其他挖礦程序,刪除一些日誌以阻止取證分析,並且(如果您擁有管理員權限)優化某些系統參數以提取更多加密貨幣。完成這些準備後,受感染的系統會執行一個特定的二進位檔案(通常偽裝成合法進程),連接到攻擊者的伺服器並開始持續挖掘加密貨幣。
就其本身而言, Windows攻擊者使用 certutil 或 invoke-webRequest 等實用程式下載惡意軟體,將其放置在可公開存取的位置,並將其註入看似無害的進程中。不久之後,原始檔案會被刪除以清除所有痕跡,而挖礦程式仍然在後台運行,即使系統重新啟動後仍會持續存在。
擴充:易受攻擊的 Web 伺服器和資料庫
這種威脅不僅影響個人電腦。近期相當大一部分攻擊是透過 受感染的網路伺服器例如運行 Tomcat 或配置錯誤的雲端服務。犯罪者可以利用薄弱的憑證或暴露的 PostgreSQL 資料庫上傳惡意軟體,然後將伺服器本身用作網路內其他裝置的啟動板。
事實上,相當一部分受害者是那些儀表板只顯示 能源消耗突然增加 以及效能下降,這是硬體被利用來秘密挖掘加密貨幣時的常見症狀。
隱藏和持久技術
這些活動最令人擔憂的一個面向是其掩蓋機制的複雜性。 惡意軟體偽裝成合法流程 (名稱與系統元件類似)並排程定期任務(如 Linux 中的 cron 作業或 Windows 登錄中的項目),以確保礦工在被使用者或安全軟體停止時自動重新啟動。
這種方法允許攻擊者長時間控制設備而不引起懷疑,而經濟損失(包括電力消耗和生產力損失)則會悄悄累積。
為了防禦這些威脅,管理員和使用者應不斷檢查其係統配置。建議關閉不必要的服務和資料庫,並分析流量是否有異常行為,例如重複連接到未知域或 CPU 使用率出現異常峰值。
La 主動監控 使用專門的工具來檢查記憶體和正在運行的進程對於檢測和消除這些攻擊至關重要,這些攻擊越來越多地採用更微妙和更先進的技術來不被注意。
使用錯誤頁面作為攻擊媒介,顯示網路犯罪分子不斷創新策略,利用 Linux 和 Windows 系統中的任何漏洞。保持積極的防禦態勢、應用安全修補程式以及限制關鍵服務暴露在網路上,是降低風險並限制這些隱藏感染影響的關鍵準則。
