世界上最流行的程式設計語言恰恰也是大多數黑客的首選武器

Python很快将是世界上最流行的程式設計語言。這算得上是豪言壯語，但如果你看一下Python的簡單性、靈活性以及相對容易上手的優點，不難看出為什麼《經濟學人》雜志最近将Python譽為是即将在全球使用量最多的語言。當然，我們的威脅研究小組想看看Python在不法分子當中有多受歡迎。

當然，最好的研究地方是Github。粗略估計，實作攻擊工具/漏洞概念證明(PoC)的GitHub代碼倉庫中20%以上是用Python編寫的。在GitHub中幾乎所有與安全有關的主題中，大多數代碼倉庫都是用Python編寫的，包括w3af和Sqlmap之類的工具，甚至臭名昭著的AutoSploit工具。

我們Imperva使用先進的智能客戶分類機制來差別和分類各種Web客戶軟體。我們檢視了自己的資料，尤其是安全事件，結果我們識别的大多數(25%以上)客戶軟體(不包括漏洞掃描器)都基于Python。

與其他客戶軟體不同，我們在Python方面看到了許多不同的攻擊途徑和使用已知漏洞。與開發人員一樣，黑客也在享用Python的優點，因而Python成為一種流行的黑客工具。

圖1：按客戶軟體分類的安全事件，不包括漏洞掃描器。25%以上的客戶軟體是不法分子使用的基于Python的工具，因而Python成為實施漏洞攻擊的最常見途徑。

對針對我們保護的網站發動的攻擊中使用Python的情況分析後發現，結果并不令人驚訝：大部分網站(多達77%)被基于Python的工具攻擊過;在超過三分之一的情況下，大多數日常攻擊是基于Python的工具實施的。這表明，基于Python的工具用于廣度掃描和深度掃描。

圖2：遭到基于Python攻擊的網站的每日百分比。

Python子產品

用于Web攻擊的兩個最流行的Python子產品是Urllib和Python Requests。下圖顯示了攻擊分布狀況。新子產品Async IO的使用剛開始多起來，如果你考慮到該庫在第7層DDoS方面扮演的角色，也就不難了解了，尤其是在使用“Spray N'Pray”手法時：

圖3

Python和已知漏洞

Python這種程式設計語言的優點讓它成為實作已知漏洞的一種流行工具。我們收集了一款基于Python的工具最近利用的十大漏洞方面的資訊。

近2個月中兩次最猖獗的攻擊使用了CVE-2017-9841和CVE-2015-8562，前者是 PHPUnit架構中基于PHP的遠端執行代碼(RCE)漏洞，後者是針對Joomla!架構的RCE。考慮到RCE對不法分子來說很重要，最常見的攻擊可能利用RCE漏洞也就不足為奇了。

另一個不屬于十大漏洞的例子是CVE-2018-1000207，它在2018年8月的最後一周内有好幾天每天都導緻數百次攻擊。更深入地分析後發現，這起攻擊是針對多個受到保護的客戶發動的。

CVE方面的變化

圖4

可以從我們的資料中看出，攻擊者利用CVE的數量在過去幾年有所增加：

圖5

此外，Python用于攻擊特定的應用程式和架構，根據我們的資料，你可以在下面找到十大架構：

圖6

我們檢視了Python攻擊的所有架構後，最惹眼的攻擊是針對Struts、WordPress、Joomla和Drupal的那些攻擊，這并不奇怪，因為目前這些是市面上一些最流行的架構。

攻擊途徑

我們看到攻擊中使用的最流行的HTTP參數值(占使用的所有不同參數值的30%左右)屬于通過Joomla!中的PHP Unserialize漏洞，使用JDatabaseDriverMysqli對象企圖植入後門的攻擊。植入後門的有效載荷托管在ICG-AuthExploiterBot上。

我們還看到一個經常出現的有效載荷，結果證明是企圖感染系統的特洛伊木馬Coinbitminer，更多細節詳見附錄。請注意，附錄僅僅是一個例子。由于Python被黑客廣泛使用，是以許多不同的攻擊途徑需要考慮。Python隻需要一點程式設計技能，這使得編寫腳本、利用漏洞易如反掌。

我們的建議

除非你能夠區分基于Python的工具的請求和任何其他工具的請求，否則我們的建議仍然一樣：確定開發軟體時牢記安全性，給系統打上最新的更新檔，盡量避免被認為不安全的任何做法。

附錄：攻擊示例

這是我們觀察到的一個值得關注的、經常出現的有效載荷(最後有個小的差異)：

圖7

在base64解碼之後，我們得到了二進制有效載荷：

圖8

在上述有效負載中，提到了反序列化漏洞工具所用的GitHub代碼倉庫和jpg檔案中的wget指令下載下傳，這強烈表明存在着惡意活動。從http://45.227.252.250/jre.jpg下載下傳檔案後，我們可以看到它實際上是含有以下内容的腳本：

圖9

腳本中的最後兩行試圖獲得http://45.227.252.250/static/font.jpg%7Csh，這被賽門鐵克端點保護系統确認為是特洛伊木馬Coinbitminer。

圖10

原文釋出時間為：2018-10-9

本文來自雲栖社群合作夥伴“

大資料地盤

”，了解相關資訊可以關注“

”。