IT之家9 月 7 日动静，收集平安公司 ESET 的平安研究人员于 9 月 4 日颁布发表发觉了一个代号为 GhostRedirector 的新型黑客组织。其始于 Windows 办事器的 SQL 注入缝隙，黑客通过下载恶意东西包展开渗入。入侵后，他们会摆设被称为“Rungan”的被动式 C++ 后门，该法式通过特定 URL 模式下的 HTTP 请求实现近程号令施行，避免建立外部毗连，从而规避平安警报。

　　GhostRedirector 展示出较高的步履荫蔽性和持久性。其维持拜候的手段包罗提权缝隙（BadPotato、EfsPotato）、webshell 以及伪制办理员账号等多层机制，确保即便次要后门被断根仍能持续节制系统。

　　研究人员还强调，该组织利用看似的域名和无效的代码签名证书来规避检测。者利用伪拆域名和无效代码签名证书规避检测。

　　该组织针对的范畴笼盖医疗、教育、零售、交通等多个行业，显示出更倾向于机遇性，而非特定行业定向冲击。

　　当谷歌爬虫爬到被攻下的办事器网坐时，Gamshen 会动态页面内容，从而报酬提拔赌钱网坐的搜刮排名。

　　告白声明：文内含有的对外跳转链接（包罗不限于超链接、二维码、用于传送更多消息，节流甄选时间，成果仅供参考，IT之家所有文章均包含本声明。

　　然后，黑客会正在办事器中植入了特地针对谷歌爬虫（Googlebot）的恶意 IIS 模块，被称为“Gamshen”。

　　面临这一环境，专家及时更新办事器软件、 SQL Server 历程中非常的 PowerShell 施行、强化 SQL 注入防御，以及按期审计 IIS 模块和办理员账户。

　　同时，通俗用户拜候的时候则显示一般页面，其手法对通俗用户来说几乎不成察觉。ESET 研究人员指出：“这相当于一种 SEO 欺诈即办事”。

建湖J9.COM(中国认证)集团官方网站科技有限公司

2025-12-06 22:33