阿碼外傳-阿碼科技非官方中文 Blog: 2009年1月5日

2009年1月5日

駭客集團於新年假期展開罕見之大規模SQL Injection攻擊

阿碼科技新聞稿 2009年1月5日

此次罕見之大規模資料隱碼(SQL Injection) 掛馬攻擊,於2008年12月24日開始展開,許多知名企業網站均受其害。犯罪集團趁著民眾休假時上網時間增加,以及網管人員可能無法立即處理,本次攻擊從12月24日持續至今,根據本公司SmartWAF所攔截的記錄顯示,此波攻擊中單一網站就遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。相較於先前2008年五月之大規模掛馬攻擊,只有不到 20 個攻擊來源相比,此次規模相對龐大。

此外,此波攻擊之網站掛馬已經含有先前本團隊公布之微軟 IE 7 0-day 漏洞 (微軟已經緊急修補),故不排出此次大規模攻擊,目的之一為散播此一新 IE 7 掛馬。本次攻擊手法仍然針對後端資料庫使用微軟 SQL Server 的網站為主,透過Google抓出 ”id”、”msgid” 或 “classid” 等關鍵字做為攻擊點,再進行資料隱碼攻擊。本公司估計此波攻擊至少造成百萬以上網頁受害。



攻擊特徵:
(1) 罕見之大規模 SQL Injection 攻擊,單一網站遭受來自179個不同攻擊來源,高達500多次的攻擊記錄。
(2) 掛馬中含有最新的 IE7 0-day 攻擊碼。
(3) 標準假日型攻擊,於2008年12月24日持續至今。
(4) 目標以大中華區的網站為主。
(5) 攻擊來源5筆來自台灣IP,137筆來自於南韓,31筆來自於中國大陸。

攻擊碼:
樣本一:

解碼後為:



樣本二:


解碼後為:



建議處理方式:
A、網站網管人員:
(1)是否遭受攻擊?以攻擊字串中的關鍵字 (例如 “dEcLaRe” 或 “0x4445434C”) 搜尋 Web 伺服器的 log記錄,看看是否遭受類似攻擊。

(2) 是否遭受攻擊成功?以惡意網址中的關鍵字 (例如 “daxia123” 或 “jxmmtv”) 搜尋網頁內容以及資料庫。

(3) 如何預防攻擊?網站遭受攻擊,是因為有 SQL Injection 漏洞。採用CodeSecure源碼檢測,找出漏洞並修補之。如果沒有資源或時間修補,可以使用SmartWAF網站防火牆來阻擋攻擊。

(4) 如何監控網站是否被掛馬?可以使用免費 HackAlert 24小時網頁掛馬監控服務,網址:http://hackalert.armorize.com

B、ISP 網管人員:
(1) 保護一般民眾 – 對於 outbound HTTP 流量,封鎖目標為此次掛馬之惡意網域之流量。本次攻擊所使用的相關網域名稱如下:daxia123、jxmmtv.com、lhaham.cn、daxia123.cn、ghahah.cn、dayoo.com、hhahai.cn、 ihahaj.cn。
(2) 保護網站遭受攻擊 – 對於 inbound HTTP 流量,封鎖來源為此次179個攻擊來源 (IP) 之流量。可來信向本公司索取此次惡意 IP 清單:pr小老鼠armorize.com。


繼續閱讀全文...