gumblar

Gumblar最早被安全界認知是由於其利用Adobe Flash/PDF的漏洞傳播惡意軟體，不同的安全廠商將Gumblar認定為不同的惡意行為，如Botnet、Downloader和Trojan。實際上，Gumblar是一系列攻擊行為的統稱（自動化的惡意軟體傳播系統），包括網站入侵、植入惡意代碼、攻擊客戶端等等、主要惡意行為是竊取客戶端FTP密碼和重定向用戶搜尋結果。

在2009年5月第一次被發現後，Gumblar幾乎席捲了整個網際網路，業界認為這是一次比Conficker更嚴重的安全事件。

我們以日本為例，對Gumblar事件進行分析。

在日本，大量的動漫網站首先遭到攻擊，表現為網頁被植入了惡意代碼，隨後很多網站也先後被攻擊並植入類似的惡意代碼。事後分析發現，動漫網站大多採用包括wordpress在內的開源程式，而開源程式本身及其第三方外掛程式都存在著大量的安全漏洞，Gumblar自動化地通過漏洞特徵尋找有漏洞的網站並完成隨後的網頁惡意代碼植入，通常惡意代碼經過加密並指向其他惡意軟體託管站點。

瀏覽者在訪問包含惡意代碼的網站時，如果攻擊成功，惡意軟體會被下載並安裝到瀏覽者的主機上，惡意程式會自動尋找本地的FTP賬號，並利用FTP賬號自動感染下一個網站，快速地進行傳播。

隨著Adobe發布Flash和PDF相關補丁，Gumblar的影響在逐漸減弱。但是在2009年11月份，Gumblar變種再次席捲日本網際網路，眾多知名網站紛紛遭遇攻擊，網頁中被植入了惡意代碼，其中包括：

日本本田網站；

東日本旅客鐵路網站；

日本民主黨東京網站；

日本著名便利店Lawson網站；

日本某著名部落格提供商。

根據網站的FTP日誌判斷，部分攻擊仍然通過FTP上傳進行，另外一些則是典型的群注方式，通過指定特徵在網際網路上掃描發起攻擊。

對捕獲的惡意樣本分析發現，此次Gumblar變種仍然採用基於瀏覽器相關的漏洞進行傳播，甚至一些幾年前的漏洞還在被使用，微軟2009年安全報告中描述了更新服務的使用情況：世界各個區域內有很多Windows用戶沒有啟用Windows更新服務，因此其系統中可能存在安全漏洞，有些甚至是幾年前的漏洞。

Gumblar變種攻擊事件出現後，在日本國內造成了巨大的反響，中小企業認為像本田這樣的世界500強的網站都會遭受Gumblar攻擊，那么中小企業的安全性則更加無法保證，網際網路行業更是如臨大敵，在各大網站上都能看到Gumblar防護專欄。