阿碼外傳-阿碼科技非官方中文 Blog: 2008/5/20

2008年5月20日

台灣網站遭受有史以來最大規模 SQL Injection 攻擊

台灣網站遭受有史以來最大規模SQL Injection 攻擊
新型態的Mass SQL Injection在台上演

阿碼科技新聞稿 2008年05月20日

阿碼科技HackAlert™是一個自動化網站安全暨惡意網頁(網頁掛馬)掃描的線上系統服務(SaaS),提供即時的網頁安全檢查,透過動態行為監控與靜態網頁分析技術,可以可偵測各種網頁瀏覽器的零時差攻擊,SmartWAF™則是一套為了防禦網站應用層攻擊而設計的Web Application Firewall(WAF)。在5月15日時,佈署在客戶端 SmartWAF™,陸續發現並阻擋了具有相同特徵的SQL Injection攻擊,與調查局合作,長期監控台海網站掛馬之HackAlert™系統,亦發現各大網站瞬間被掛馬成功。

經過阿碼科技ASF™(Armorize Special Forces)資安團隊深入分析後發現,這是新一波針對亞洲網站的大量資料隱碼(Mass SQL Injection)攻擊,目前已經造成多家知名企業被入侵,以台灣網域(.tw)而言,每一筆惡意連結平均感染(植入於)近兩千筆網頁,所有遭植入的網頁一日的瀏覽數量達十萬筆,換句話說有十萬次瀏覽惡意攻擊碼的數量。更有單一網站被掛馬221個頁面的驚人記錄。相關惡意連結超過一千多筆。

[事件摘要]
* 總共出現超過一千多個惡意連結(請來信索取)。
* 以 s.see9.us此單一惡意網址為例,平均約成功植入達一萬個網站,植入手法為自動且大規模之SQL Injection。
* .tw被植入約215個網站。至少1,988個不同網頁遭到大量植入惡意連結。
* .cn約被植入四千六百個網站(網頁數不獨立統計)。
* 其餘.com, .net網域受害單位眾多,遍及世界各地
* 攻擊來源IP多在中國,懷疑為遭駭客控制之主機,約二十台,長時間持續攻擊,IP列表請來信索取。
* 統計時間為5/16/2008。

[事件相關報導]
InfoWorld:Update: Mass SQL injection attack targets Chinese Web sites--Attack has implanted malware in thousands of Web sites in China and Taiwan

http://www.infoworld.com/article/08/05/19/Mass-SQL-injection-attack-targets-Chinese-Web-sites_1.html

PCWorld: Mass SQL Injection Attack Targets Chinese Web Sites

http://www.pcworld.com/businesscenter/article/146048/mass_sql_injection_attack_targets_chinese_web_sites.html

BetaNews: Ten thousand servers hit in SQL injection hack

http://www.betanews.com/article/Ten_thousand_servers_hit_in_SQL_injection_hack/1211228699

[事件獨特性]
這一種類型的攻擊,從今年四月底開始在國外大量出現,至今在亞洲演變為大規模網站攻擊事件。與以往資料隱碼入侵(SQL Injection)有幾點不同之處值得注意。

1. 無特定目標之大規模攻擊。以往的掛馬攻擊多針對特定的網站,且是駭客使用手動工具完成。

2. 使用Google Hacking而非網頁爬行(crawling),攻擊程式自動使用搜尋引擎,找出目標網站來散布(詳細手法請來信詢問)。

3. 自動化SQL Injection感染網站: 此波攻擊把網馬掛入網頁的手法,非針對特定廠商(如微軟)之漏洞,而是針對各網站自家寫的程式中之SQL Injection漏洞。攻擊程式自動化SQL Injection,大量插入惡意連結到受害Database中,其結果有二:一、攻擊成功,網頁遭插入惡意連結;二、攻擊失敗,但導致網站頁面內容被破壞。

4. 自動化SQL Injection加上自動化搜尋引擎尋找目標,已在短時間內感染大量網站並加以掛馬,並造成嚴重災情(一天感染達到2萬網站)。是以往人工入侵方式數量的數百倍以上。

5. 新型態自動化Web攻擊,入侵層面不但廣且深入。 將形成難以估計的新型態殭屍網路(Botnet)。犯罪集團佈局將引發網災,現有攻擊所植入的網頁連結,有一半以上不會立即發生危害,因此未被防護軟體標識為惡意網站。推測犯罪集團在進行大規模網站佈局,等待下一個瀏覽器零時差攻擊(Zero Day Attack) 出現後大量收割。

[攻擊者IP]
約20多筆,請來信索取

[惡意連結]
實際惡意連結約一千多筆,請來信索取

[惡意程式]
自動化SQL Injection網頁掛馬,手法分兩階段,第一階段是自動透過搜尋引擎尋找目標,並執行SQL Injection入侵並掛馬(惡意程式);第二階段則是網頁掛馬(惡意程式)感染網站之瀏覽者。前文已將攻擊手法交代,至於惡意程式本身之分析如下。

此次攻擊由於來自於中國且針對亞洲網站,惡意程式攻擊瀏覽器,以微軟IE之已知漏洞,以及流行之IE外掛為主。由於Microsoft update之自動更新,並不會包含這些第三方開發之IE外掛,故感染率極高。另一方面,所有惡意程式皆經過加殼動作,坊間一般防毒軟體並無法偵測出(辨識率低於六成)。

以下為此次惡意程式攻擊之漏洞列表:

* MS06-014 [CVE-2006-0003]
* MS07-017 [CVE-2007-1765]
* RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]
* GLCHAT.GLChatCtrl.1 [CVE-2007-5722]
* MPS.StormPlayer.1 (暴風影音) [CVE-2007-4816]
* QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚無CVE編號
* DPClient.Vod (迅雷) [CVE-2007-6144]
* BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]
* VML Exploit[CVE-2006-4868,MS06-055]
* PPStream [CVE-2007-4748]

[網頁遭破壞之網站]
此次為前所未有之大規模攻擊,不斷地對網站中之SQL Injection 弱點進行攻擊,在攻擊不成功時,會破壞網站內容,遭破壞之網站估計上千台:



[Mass SQL Injection 手法詳述]
(完整此次 SQL 攻擊字串請來信索取



(註1) :透過類似 Botnet的大量遙控方式,幾乎同時遠端遙控多台攻擊機,對大量的網站進行攻擊,跳過一般SQL Injection掃瞄獲取資訊再進行注入的手法。

(註2) :僅使用一行網站Request 就完成入侵,將惡意連結注入到後端的資料庫裡面,同時可以更改所有資料庫中可運用的表格,因為僅短短一行注入攻擊碼在網站Log稽核檔案中很難發現。即使網站已經關閉錯誤回應訊息(一般防堵SQL Injection的作法),只要注入點未作輸入資料驗證,此攻擊仍然可以成功,導致誤認已經關閉錯誤訊息就可以高枕無憂的網站,大量遭到入侵。

[如何偵測網站是否被掛馬?]
公司企業如果要檢測自己的網站是否遭駭客植入惡意連結,可線上直接使用免費HackAlert™服務,設定好公司網址後,HackAlert™會自動二十四小時監控您的網站,並於偵測到惡意程式時發email通知,確保您的網站遠離恐懼威脅。HackAlert™免費服務網址或請聯絡(02) 6616-0100。



[如何偵測是否遭到此次攻擊]

* 搜尋 Web Log: 搜尋Web Log中是否有 dEcLaRe , cUrSoR , fEtCh , cAsT(0x 等異常的字串。完整此次 SQL 攻擊字串請來信索取
* 再看該筆Log是否回應 HTTP 200,如果回應HTTP 200即表示已經被入侵成功。
* 檢查資料庫的內容是否被安插特定字串,如: <iframe src= 或 <script src= 等,如果遭受攻擊,在某個欄位的每一筆資料均會被安插此字串。
* 使用搜尋引擎,輸入 site: 公司網址 惡意連結。
公司網址範例: xxx.com.tw
惡意連結範例: 9i5t.cn
整體範例:site:armorize.com.tw 9i5t.cn
* 免費使用HackAlert™ 監控網站,HackAlert™會自動定期監控網站內容是否有被植入惡意程式或是惡意連結,如果您的網站不幸遭受攻擊,HackAlert™ 會第一時間通知。

[如果已經被Mass SQL Injection則如何處理?]
* Mass SQL Injection 主要攻擊對象是資料庫,在資料庫植入惡意連結。
* 請先檢查資料庫內容是否有被竄改。
* 若有,請進行資料庫復原作業。
* 務必修補網站所有程式碼的SQL Injection漏洞,避免再次入侵,竊取網站資料。
* 強化網站程式碼的安全,務必消除OWASP的前十項網頁漏洞問題。(網頁程式原始碼檢測)。
* 有被入侵的網站務必加強防護,可以確定駭客一定會再登門拜訪。

[用戶端安全建議 ]
* 使用者瀏覽受害網站,且瀏覽器未進行修補狀態下,即有可能導致瀏覽者系統遭植入惡意程式,並竊取瀏覽者系統中的資訊。
* 使用者瀏覽器務必進行系統更新修正安裝,並移除有漏洞之瀏覽器Plug-in元件(如暴風影音 , 迅雷, Baidu Toolbar...等)。
* 注意瀏覽網站過程中的反惡意程式軟體的警訊。
* 加強對惡意程式的防護作業。

[如何避免網站中有SQL Injection漏洞?]

* 做好安全的開發流程(Secure SDLC),使用CodeSecure™在開發初期就準確發現並修復漏洞。
* 對於目前已經存在並且來不及修復的漏洞,安裝SmartWAF™ 則可以保護您的網站不再遭受此類攻擊的威脅。

關於 SmartWAF™:
SmartWAF™主機式應用系統防火牆提供即時網站安全防護,支援Windows及UNIX平台與常見的網站伺服器如IIS及Apache,提供以下對於網站攻擊的保護

* 可檢驗HTTP、HTTPS、SOAP、XML-RPC的內容,偵測或阻擋含有惡意的連線請求
* 可防禦各種常見的網站應用系統攻擊手法,如:跨網站腳本攻擊Cross-Site Scripting (XSS),資料隱碼攻擊SQL Injection,連線劫持Session Hijacking,檔案引用與洩漏資訊File Inclusion,跨網站的偽造要求Cross-site Request Forgery(CSRF)等
* 中信標組別:四~(四) 項次:82,品名:Smart Web Application Firewall 網頁伺服器防火牆單機版

關於 HackAlert™:
HackAlert™是一個自動化網站安全暨惡意網頁(網頁掛馬)掃描的線上系統服務(SaaS),提供即時的網頁安全檢查,透過動態行為監控與靜態網頁分析技術,可偵測各種網頁瀏覽器的零時差攻擊,是針對亞洲環境開發出來的防禦型武器。身為政府及企業資安專業人士,您將擁有自動化二十四小時監控能力,永遠第一個知道網站危安情形,讓您輕鬆自在,睡的安穩,有效監控!

關於CodeSecure™:
CodeSecure™程式原始碼(源碼)檢測工具,是先進的Web應用系統資訊安全解決方案,能及早在Web軟體開發初期階段,透過自動靜態分析(ASA, Automated Static Analysis)來驗證程式源碼的安全性。CodeSecure?為阿碼科技之第三代軟體驗證技術,內建源碼編譯器,讓程式開發者無需費時於開發環境之整合,避免逐機軟體安裝,透過Web 2.0介面「隨寫即掃、馬上安全」。

中信標組別:四~(四) 項次:83,品名:CodeSecure 原始碼分析平台 JAVA + PHP + .Net + ASP版本 含協同式專案驗證平台軟體、整合式開發暨驗證平台軟體(5人版)

關於阿碼科技
阿碼科技(Armorize Technologies)是全球領先的全方位軟體安全與網站安全服務供應商,致力於從根源解決Web資訊安全問題。公司總部設於北美矽谷Santa Clara市,全球研發中心於南港軟體園區。阿碼科技產品線包涵蓋完整Web資訊安全解決方案,包含CodeSecure™源碼檢測、HackAlert™網頁監控、SmartWAF™應用程式防火牆等 ASF™(Armorize Special Forces)資安團隊除提供專業服務外,並參與全球重要Web資安年會,發表領導性技術研究。

阿碼科技成立以來榮獲多項國內外大獎,包含Red Herring 亞洲科技百強(Red Herring Asia 100)、Red Herring全球創意十強企業(Red Herring Global Innovator’s Pit)、經濟部傑出產品獎、新創事業獎、金根獎科技產業傑出貢獻獎等多方肯定,並於2007年併購艾克索夫(X-Solve)為獨立資安研究實驗室,提供更完整的網站安全與惡意程式檢測服務。

更多資訊請至阿碼科技台灣網站:http://www.armorize.com.tw 或全球網站:http://www.armorize.com
新聞聯絡人
阿碼科技企業行銷
Jack Yu 余俊賢
(02) 6616-0100
pr@armorize.com


繼續閱讀全文...