Websense：9號球攻擊逾4萬個合法網站被駭

資安業者Websense於本周表示，發現一起大規模的資料隱碼攻擊行動，有逾4萬個合法網站被駭，並因此將使用者導向惡意網站，基於該惡意網站的網址名稱為nine2rack，因此將其命名為9號球（nine-ball）攻擊行動。

要執行這類的大規模攻擊，駭客會先在各大網站注入惡意程式，然後將造訪被駭網站的使用者導到惡意網站，最後透過各種使用者應用程式的漏洞在使用者電腦上安裝木馬程式。

Websense說明，當使用者造訪受感染的合法網站時，駭客會將使用者導向各個由駭客掌控的惡意網站，駭客會偵測使用者的IP位置，若是新客戶，就會將其導向下載惡意程式的網站，若是偵測到重覆IP，那麼就會導向無害的ask.com。

之後駭客會透過MS06-014、CVE-2006-5820及Acrobat Reader或QuickTime等安全漏洞攻擊使用者電腦。

這是Websense近來所偵測到的第三波大規模攻擊。今年5月底，Websense曾發現一起稱為Gumblar的大量攻擊行動，最高峰時期有逾8萬個合法網站被注入惡意的JavaScript，並於造訪被駭網站的使用者電腦上執行惡意檔案，Websense亦在6月初發現另一起稱為Beladen的大規模攻擊。

上述大規模攻擊採取的途徑都很類似，駭客先透過自動模式偵測合法網站伺服器端的漏洞，之後注入惡意程式，再間接將使用者導向駭客所掌控的惡意網站，但相關攻擊的來源不同，例如9號球攻擊行動的主機座落於烏克蘭，Gumblar攻擊則來自中國，Beladen源自德國。

在Google安全團隊於今年6月所發表的惡意網域調查報告中發現，全球有逾4000個惡意伺服器，其中就有1400個位於中國，而且Gumblar.cn感染了逾6萬的合法網站，在該排行榜上居冠。（編譯/陳曉莉）