阿碼外傳-阿碼科技非官方中文 Blog: 駭客集團於新年假期展開罕見之大規模SQL Injection攻擊

2009年1月5日

駭客集團於新年假期展開罕見之大規模SQL Injection攻擊

阿碼科技新聞稿 2009年1月5日

此次罕見之大規模資料隱碼(SQL Injection) 掛馬攻擊,於2008年12月24日開始展開,許多知名企業網站均受其害。犯罪集團趁著民眾休假時上網時間增加,以及網管人員可能無法立即處理,本次攻擊從12月24日持續至今,根據本公司SmartWAF所攔截的記錄顯示,此波攻擊中單一網站就遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。相較於先前2008年五月之大規模掛馬攻擊,只有不到 20 個攻擊來源相比,此次規模相對龐大。

此外,此波攻擊之網站掛馬已經含有先前本團隊公布之微軟 IE 7 0-day 漏洞 (微軟已經緊急修補),故不排出此次大規模攻擊,目的之一為散播此一新 IE 7 掛馬。本次攻擊手法仍然針對後端資料庫使用微軟 SQL Server 的網站為主,透過Google抓出 ”id”、”msgid” 或 “classid” 等關鍵字做為攻擊點,再進行資料隱碼攻擊。本公司估計此波攻擊至少造成百萬以上網頁受害。



攻擊特徵:
(1) 罕見之大規模 SQL Injection 攻擊,單一網站遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。
(2) 掛馬中含有最新的 IE7 0-day 攻擊碼。
(3) 標準假日型攻擊,於2008年12月24日持續至今。
(4) 目標以大中華區的網站為主。
(5) 攻擊來源5筆來自台灣IP,137筆來自於南韓,31筆來自於中國大陸。

攻擊碼:
樣本一:

解碼後為:



樣本二:


解碼後為:



建議處理方式:
A、網站網管人員:
(1)是否遭受攻擊?以攻擊字串中的關鍵字 (例如 “dEcLaRe” 或 “0x4445434C”) 搜尋 Web 伺服器的 log記錄,看看是否遭受類似攻擊。

(2) 是否遭受攻擊成功?以惡意網址中的關鍵字 (例如 “daxia123” 或 “jxmmtv”) 搜尋網頁內容以及資料庫。

(3) 如何預防攻擊?網站遭受攻擊,是因為有 SQL Injection 漏洞。採用CodeSecure源碼檢測,找出漏洞並修補之。如果沒有資源或時間修補,可以使用SmartWAF網站防火牆來阻擋攻擊。

(4) 如何監控網站是否被掛馬?可以使用免費 HackAlert 24小時網頁掛馬監控服務,網址:http://hackalert.armorize.com

B、ISP 網管人員:
(1) 保護一般民眾 – 對於 outbound HTTP 流量,封鎖目標為此次掛馬之惡意網域之流量。本次攻擊所使用的相關網域名稱如下:daxia123、jxmmtv.com、lhaham.cn、daxia123.cn、ghahah.cn、dayoo.com、hhahai.cn、 ihahaj.cn。
(2) 保護網站遭受攻擊 – 對於 inbound HTTP 流量,封鎖來源為此次179個攻擊來源 (IP) 之流量。可來信向本公司索取此次惡意 IP 清單:pr小老鼠armorize.com。

8 篇回應 :

zhi910 提到...

不知道這樣的攻擊模式是用工具還是用人工的??

匿名 提到...

這種應該是自動化工具的攻擊

匿名 提到...

這種大規模攻擊...都會利用到一些"特殊工具",當然,除了工具外還會利用到跳板主機,也就是"肉鸡"。
此為例:
1.「透過Google抓出 ”id”、”msgid” 或 “classid” 等關鍵字做為攻擊點」...這就需要工具程式做。
2.「大量植入惡意連結」也需要工具。
3.「單一網站就遭受來自179個不同攻擊來源」這就需要跳板,發動攻擊行為。
4.要操控這多跳板主機,也需要工具程式的。

所以要發動大規模攻擊,後面的惡勢力不容小覷。當然,地下經濟規模也不小的。因為攻擊目的是讓瀏覽站的人植入惡意程式,受害主機又是誰去拿他想要的東西呢??誰受益呢??...歡迎來到網路的另一世界。

匿名 提到...

那不知有沒有見種工具??
好想看看DEMO哦...

RedJack 提到...

可以請教一下,要如何解碼嗎

謝謝

Wayne Huang 提到...

最簡單的方式是用一些線上的服務,google查 "wepawet" 以及 "jsunpack" 這兩個服務都蠻好用的。cha88.cn 也很好用

RedJack 提到...

不好意思,我的意思是是解碼前的東西,用什麼規則去翻譯的
也就是怎麼去生一個解碼的工具。

最近比較有空,好奇想試試用python去寫一個解碼的工具 ^_^

Wayne Huang 提到...

請收信

張貼留言