資安廠商Websense在3月29日於該公司部落格發布一則資安通報,有一個名為LizaMoon.com的惡意網址,透過SQL Injection手法被植入許多網站中。根據Websense持續更新的資安報告,透過Google查詢被植入該惡意連結的網址數量,從原本的2萬8千多個,暴增為全球受害遭植入該惡意連結的網址數量超過百萬個的Mass SQL Injection攻擊。
根據統計,臺灣此次在全球受駭國家排名中,名列亞洲第2名、全球第7名;從Google查詢臺灣受感染的網址數量,也從原本的1千個暴增到6萬3千個。
LizaMoon風暴來襲,受感染網址超過150萬個
Websense表示,這個惡意網站LizaMoon.com最早是3月25日以假身分註冊的,透過Google搜尋LizaMoon惡意連結語法時,剛開始受感染的網址只有2萬多個,不到幾天時間,感染數量暴增到30多萬個。
LizaMoon.com惡意網址感染後,沒多久就停止運作了,但有其他將近30個惡意連結發動Mass SQL Injection,同時感染其他網址。根據Websense統計,這波惡意連結感染的網址數量,甚至超過150萬個。
Websense指出,受到該惡意網址感染的使用者瀏覽器頁面,會自動被轉址到一個名為「Windows Stability Center」的防毒軟體網頁,當受駭者瀏覽到該網頁後,會出現一個警告訊息,顯示使用者的電腦中潛藏許多惡意程式,必須立刻掃描電腦與清除惡意程式。
從Websense提供的證據看來,該偽冒的防毒軟體網頁,整體風格神似微軟的網頁形式,一旦不留意,很容易誤認為是微軟官方網頁而相信該警告訊息因而受騙。但是,這個偽冒連結,在總計43個防毒軟體的測試中,只有13個防毒產品辨識出是惡意連結並進而阻擋,辨識率只有3成。
本身是微軟MVP的黑暗執行緒部落格格主Jeffrey接受書面訪問時表示,這次LizaMoon攻擊手法很成功的原因在於,攻擊難度並不高,只要把全部攻擊指令濃縮成一行QueryString,就可以在網路上四處亂試主機,嘗試看哪一個網站伺服器有SQL Injection的漏洞可以利用,成功就賺到,失敗了,不過浪費幾百個位元的頻寬而已。因此,他認為,「這對駭客而言,只有要足夠的機器與頻寬就可以四處亂槍打鳥,嘗試發動大規模Mass SQL Injection攻擊。」
ASP與ASP.NET網站被駭數量最多Websense初步統計,此次遭受LizaMoon惡意連結感染的網址,大多都是ASP或ASP.Net網站加上微軟SQL Server 2000和2005的組合,但也有極少數使用者表示,使用微軟SQL Server 2008受到類似感染。
面對Mass SQL Injection攻擊,臺灣有許多網站也受害。負責維運非營利組織國際厚生健康園區網站(www.24DRS.com.tw)的國際厚生數位科技公司,該公司網路工程師表示,3月27日從網路上的Log記錄就陸續發現被入侵記錄,3月28日同仁上班後,發現有異常字串被植入網站中便立即清除。國際厚生表示,由於網站是採用ASP和ASP.NET加上Windows Server 2003的規格,平均每50次的嘗試入侵,有20次成功入侵的機會。
國際厚生指出,從IIS伺服器Log記錄逆向追蹤發現,這次攻擊來源單一,都來自中國網段IP位址,國際厚生表示,將這些Log匯出、掃描、比對時間和字串並尋找關鍵字,大約花2小時的時間,除了請軟體開發工程師寫SQL指令清除這些插入的字串外,也先把這些攻擊網址進行封鎖。
但是,Websense強調,這次主要是Web應用程式的漏洞,與資料庫本身無關,雖然還不知道引發此次Web漏洞的原因,主要還是和SQL指令不乾淨或有錯誤有關,導致Web應用程式無法正確過濾輸入的指令。
Mass SQL Injection自動化攻擊仍常見
這種自動化Mass SQL Injection攻擊並非第一次發生,臺灣在3年前也曾經經歷過一起類似的攻擊。
阿碼科技HackAlert產品線工程師林振鈞表示,以往這類常見的攻擊手法,除了轉址到某一惡意連結,在背景程式下載惡意程式(Drive-By-Download)在使用者的電腦外,另外一種就是和這次LizaMoon類似的方式,透過轉址到偽冒的防毒網頁以獲取使用者的信任。他說,在去年年中時,該公司針對受監控的網站,就已經觀察到類似的攻擊手法。
Websense北亞區技術經理林秉忠表示,現在有越來越多網路攻擊是集團式的攻擊手法,成群結隊夾帶多種惡意程式,設法植入使用者的電腦中。從這次LizaMoon.com的Mass SQL Injection攻擊事件看來,有許多Web伺服器原先的SQL Injection漏洞,開發工程師根本都沒有進行相關修補,讓這種透過工具自動化發動的Mass SQL Injection攻擊,很容易嘗試到網站有漏洞後,就植入相關的惡意連結。他說,更令人擔心的事情在於,有60%以上的惡意程式都有竊取資料的行為,這種資料遺失隱憂則讓惡意程式的潛在威脅性更高。
參考網址:
http://news.pchome.com.tw/magazine/report/ct/iThome/4289/130253760014239075007.htm
熱門文章
-
消費者文教基金會(以下稱消基會)發布《網拍一律不給退?業者已觸法!》新聞稿,內容表示消基會抽查多家「以企業型態經營網路拍賣的業者」,發現網路買家以「買家不得因個人觀感退貨」條款排除買家所享有的七天鑑賞期規定,認定業者牴觸消保法規定的相關解釋。 消基會表示,現今許多網路拍賣賣家,...
-
親愛的Yahoo!奇摩拍賣會員 您好: 為提升拍賣平台交易的安全性,並且避免買賣家帳戶的資料外洩,Yahoo!奇摩拍賣將於100年5月25日起推出「拍賣代號」安全機制。 「拍賣代號」是一組由系統自動派發的隨機序號,序號內容為[Y+10碼序號]的組合,例如Y1234567...
-
網路購物族群有愈來愈多的趨勢,為了安心購物,許多賣家會推出超商付款取貨的交易方式,但台中市1名林姓女大學生,最近買1台收音機,取貨後打開卻看到1個袋子,氣得報警。 警方指出,這名林姓女子指稱最近透過網路,買了新台幣1000餘元的收音機,為了確保虛擬交易的安全性,她還選擇超商...
-
校園學術網路中,2010年初估有6成以上的電腦,都曾被植入惡意程式,淪為傀儡網路,目前發現,已經有駭客開始利用社交網路,例如改以臉書報到取代以往IRC的報到功能,迴避現行防毒軟體的偵測與封鎖 負責控管學術網路(TANET)的國家高速網路與計算中心副研究員蔡一郎表示,校園學術網...
-
【台灣醒報記者賴宥霖報導】在部落格分享美食、美容、產品的部落客,說的到底是不是真的?美國聯邦貿易委員會(FTC)日前宣布,將來網友在網路上評論產品時,必須說明是否有接受廠商金錢或產品餽贈,否則最高將處以一萬一千美元罰鍰。消基會表示,台灣也應該跟進,「因為部落客推薦,消費者往往不覺...
訂閱:
張貼留言
(
Atom
)
0 意見 :
張貼留言