全球資安研究人員或駭客應該都對Pastebin網站很熟悉,因為這是一個程式文件共享網站,有不少駭客都藉由它來分享攻擊程式碼或竊取的資料。但資安業者Sucuri指出,除此之外,駭客甚至還利用Pastebin網站作為惡意程式的代管伺服器。
Sucuri表示,他們在追蹤WordPress平台上號稱最強大幻燈片外掛程式RevSlider的安全漏洞時發現,有一後門程式濫用Pastebin網站來代管惡意程式。它的行為就像是一個傳統的後門程式:從遠端伺服器下載惡意程式碼並將它存放在被駭網站的檔案中,必要時即可執行。特別的是,該後門程式下載惡意程式的來源既不是由駭客控管的伺服器,也不是被駭網站,而是Pastebin。
一般而言,駭客會利用Pastebin來分享他們所開發的程式碼片段,同時允許使用者下載最原始的程式碼。然而,Sucuri卻發現,駭客在攻擊RevSlider漏洞時,將Pastebin作為惡意程式的代管網站,直接從Pastebin載入惡意程式。
Sucuri揭露了該後門程式的運作路徑,顯示它在參數中暗藏了Pastebin上特定程式碼片段的網址,這使得它能下載並執行任何位於Pastebin的程式碼片段。Sucuri還發現,印尼的駭客甚至替Pastebin設計了專用的編碼器,讓他們的行徑更難被察覺,解碼後才會發現Pastebin在攻擊中所扮演的角色。
Sucuri資深惡意軟體研究員Denis Sinegubko表示,Pastebin本來就可讓人分享程式,這些程式也可能是被用來攻擊其他網站的惡意程式。只是這一次看到大量利用Pastebin來執行實際攻擊的現象,讓人感到頗為新鮮。也提醒安全研究人員,不要隨便分享網路上所發現的惡意程式,因為這可能會讓駭客在Pastebin上直接再利用。
Sinegubko也建議研究人員要分享惡意程式碼時能稍作修改,以避免相關程式可直接被執行。Pastebin則尚未針對此事提出回應。(編譯/陳曉莉)