新一轮SQl注入攻击敲响警钟

日期: 2008-05-26 作者:Dennis Fisher翻译:Tina Guo 来源:TechTarget中国 英文

黑客正在寻找快捷键便的方法攻击大量的计算机,他们越来越多的依靠一种重新获得喜爱的旧的可信任的方式:SQL注入。


  最近几个月,安全专家发现大量的网站受到一系列的数量众多的SQL注入攻击,这种攻击利用脆弱的Web应用程序,然后使用这些站点作一个平台,使访问者的PC感染恶意软件。研究人员说这种趋势令人担忧,原因有多个,但是最大的关注点是Web上的大量站点都容易受到这种攻击,而且黑客很容易找到并攻击新目标。


  甚至相关地基础站点任何时候都可以有几个应用程序运行   它所利用的知识一个编程过程中的小小的错误代码,黑客就得到了一个开口。


  “它不需要花费多少精力”惠普实验室Web安全研究小组的安全研究员和Web 应用安全专家Billy Hoffman说,“有这么多的面向Web的应用程序,它们很多都是几年前写的,都没有经过任何形式的代码检查。”


  新一轮的SQl注入攻击好像今年很早就开始了,并且一直持续不衰退,研究人员不断发现越来越多拥有一个或多个攻击点的域。这种攻击可以采用几种不同的形式之一,但是公分母是他们试图在不同的合法网页注入恶意SQL命令行。这会引发在后门应用程序的上运行的数据库错误。


  最近发现的工具包是Asprox 特洛伊,最近几周研究人员发现它被垃圾邮件botnet所分散。SecureWorks 的高级安全研究人员Joe Stewart 作了Asprox 特洛伊分析,而Asprox 特洛伊是有关于窃取密码的特洛伊,比如Danmc。一旦这种恶意软件感染了一台个人电脑,它就会下载一个二进位,当这个二进位制运行的时候,就会用Google搜索包含特别术语的站点。然后就会在这些站点发动SQL注入攻击。结果就会是这些站点的访问者会被强制从另外一个站点下载一段恶意JavaScript代码。Stewart说,这些代码会把用户指引到第三个网站上,这里有更多的恶意软件,可能是Asprox 或 Danmec的副本。


  “Asprox代码和被中国域名感染,而安装游戏密码窃取特洛伊的代码很相似。”Stewart说,“我不知道它们是不是从中国取得的副本还是只是一个复制机,但是它们在一定程度上成功了。看起来好像是有人拿了代码,并把它放进了一个大型的程序中,尽可能广泛的传播。”


  “暂时驱使黑客的是复制机和扫描和感染工具的全面的实用性,它们和上千个合适的过时Web应用程序结合起来,结果就是现在的状况—超过150万的网页受到感染。” Dancho Danchev说。他是一位独立的安全咨询专家和研究人员,他一直在跟踪SQl注入攻击。他说:“单独的复制机几乎就是带有Asprox的僵尸网络大师,以及它不断努力地参与攻击。此外,被注入的恶意域名被放在fast-flux,也就是说,它们对被感染恶意软件的主机上的10个不同的IP作出回应,而这些主机是网络的一部分,那些IP也再不断的变化。目前的攻击可以被简单的描述为抵达Web最深处的SQL注入攻击的长尾巴。它们简单地做些侦察,然后攻击脆弱的目标。”


  研究人员说,实际上它不可能以这种方式知道有多少站点受到攻击,虽然Stewart估计Asprox恶意软件到目前已经感染了35000个站点,这是基于Google搜索的结果。但是有一点很明显,黑客进行内容攻击的地方知识为了强行进入数据库,而获得有趣的‘天然金块’现在它们正关注于获取尽可能多的PC,兵士用这些PC作为它们活动的平台。


  “我们看到的是展开的Web威胁,好像桌面威胁,” Hoffman说,“这些人习惯于只对他们可以从这些站点得到的东西感兴趣。现在,这些站点是他们窃取数据和实行攻击的平台。他们认识到他们可以利用这些机器作为资源。为什么只是在我可以用它安装恶意软件和跳到其它机器上的时候拥有这台机器呢?”


  最近的大量SQl注入行为看来是来自中国,全世界的研究人员一直都在跟踪这些攻击。Shadowserver Foundation公布了一份包含了所有把恶意代码注入到其他站点的域名列表,他们中的大部分是中国域名,其他的多是.com 或 .info的地址。


  处于一些原因,SQl注入已经在黑客中重新流行起来,特别是因为它可以自动化的简易程度。但是它也是令人发狂的执行简单的攻击,其潜在的目标群很大,使它不但吸引了低级的脚本小后生,而且吸引了寻找大目标的专业人士。


  “这些站点中没有平民站点,他们只是含有程序错误的站点,这些人取得了尽肯能最广泛的攻击界面,这就是SQl的注入点。” Stewart说,“他们甚至不需要做任何工作来找到目标。他们所做的是到Google搜索含有特殊术语的Active Server Pages(ASP)。他们知道页面可以在后门运行MS SQL,然后他们只是在这些页面中寻找特殊的证据,这样就完成了。”


  中国的SQl注入攻击在三月份就开始了,而且还在继续,按照设计它们主要是安装窃取World of Warcraft等在线游戏密码的特洛伊。但是,正如Stewart所指出的,他们可以短时间内从窃取游戏密码过渡到窃取在线银行密码。


  “这根本不需要话很多的精力。可以阻止他们的是这在中国是很严重的犯罪。中国为此已经给一些人判刑了。” Stewart说,“所以可能是人们不再愿意再冒险。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐