僵尸攻击网络劫持火狐用户（附2013 web应用攻击报告）

火狐用户和电商网站小心了，代号“先进力量”（Advanced Power）的僵尸网络通过一种火狐浏览器恶意插件感染PC，该插件伪装成合法的 Firefox扩展“Microsoft .NET Framework Assistant”，将安装扩展的Firefox用户变成僵尸网络的一部分，在受感染用户访问网站时逐页扫描该网站是否存在SQL注入漏洞。（编者按： 通过分布式僵尸网络通过多用户账户访问获得的样本会多得多）

据首次报道该插件的信息安全记者Brian Krebs的博客，Advanced Power已经感染了1.25万个系统。根据恶意软件分析公司Malwr分析，该恶意插件至少从今年5月31日就开始传播。根据Virus Total的的统计，当该恶意软件首次出现时，47个主流杀毒引擎中只有两个成功识别出恶意代码，到今年8月份，能查杀Advanced Power的杀毒引擎增加到了29个。

SQL注入攻击主要针对电商网站

恶意插件程序还包含了窃取密码等敏感信息的功能，但并没有激活。攻击者主要把受感染用户变成一个分布式漏洞扫描平台，自5月至今它共发现了大约1800个存在SQL注入漏洞的网页。Mozilla表示它已经移除了假的Microsoft .NET Framework Assistant扩展。

根据Hold Security的分析，鉴于Advance Power中的一些字符串使用了捷克文，其开发者很可能来自捷克共和国。

根据安全厂商Imperva发布的《2013年web应用攻击报告》

，SQL 注入是针对电商网站最主要的攻击手段，电商网站遭受SQL注入攻击的数量是其他行业的两倍。对于电商之外的其他行业的web应用，最主要的攻击手段是跨目 录攻击（36%），其次是SQL注入（27%）和跨站脚本（14%），电商网站与其他行业网站遭受的攻击对比如下图：

文章来源：安全牛