Tweet
大量SQL Injection攻擊,4月底在歐美爆發,不到半個月的時間,就蔓延到亞洲。臺灣遭到大量SQL Injection攻擊的網站,一天就有超過200個網站、將近2,000個網頁被植入惡意連結。
從4月底開始,在歐美陸續發生大量SQL Injection(隱碼攻擊)攻擊事件,而這樣的攻擊手法,在短短半個月時間,就已經從歐美蔓延到亞洲,臺灣、中國的網站更是首當其衝。根據資安公司觀察,此次駭客發動的大量SQL Injection攻擊,受駭網站不乏知名企業和公益組織,光是臺灣網域(.tw),就已經有近2,000筆網頁,被植入惡意連結,甚至出現單一網站被植入221個惡意程式。
SQL Injection長期以來,名列多種Web攻擊手法排名榜前2名。IBM ISS資安研究中心X-Force日前就曾經指出,「全球超過50萬個網站遭到第三波大量SQL Injection攻擊。」資安公司阿碼科技(Armorize)由部署在企業端的應用程式防火牆的記錄發覺,這種大量SQL Injection攻擊已經從歐美蔓延到亞洲。
阿碼科技從客戶端應用程式防火牆記錄中,發現大量具有相同特徵的SQL Injection攻擊。該公司執行長黃耀文表示,根據5月16日當天的統計,光是臺灣網域(.tw)的網站,就有215個網站遭到大量SQL Injection攻擊,至少有1,988個不同網頁,被植入大量惡意連結,而中國網域(.cn)的網頁,也有超過4,600個惡意連結。
黃耀文說,這些被植入惡意連結的臺灣網站,每天的瀏覽數量高達10萬次。他說,其中也發現有單一網站,被植入221個惡意連結。黃耀文表示,這個統計只是針對單一惡意連結的統計結果。
阿碼科技資安技術顧問古貴安在發現這樣的攻擊手法後,第一時間回溯追蹤駭客攻擊流程,他循線找到駭客用來記錄此次攻擊成效的網站。在資料仍處於公開的行況下,取得了駭客記錄攻擊結果的資料。他分析5月16日的駭客攻擊成果發現,至少有1萬個網站成功植入惡意程式,相關的惡意連結則高達10萬個。
若一步分析,古貴安指出,攻擊者以自動化程式搭配Google搜尋引擎,找到有SQL漏洞的網站,將惡意連結植入資料庫中。「整個過程已經自動化,比起先前人工作業的SQL Injection攻擊,先進行掃描再入侵的方式,自動化攻擊的效率和數量都大為增加。」他說。
阿碼科技艾克索夫資安實驗室首席資安顧問邱銘彰表示,從這一波大量SQL Injection攻擊首度發現,自動化SQL Injection攻擊加上自動化搜尋引擎尋找目標,以及可以自動化散布進行網頁掛馬的蠕蟲。以前駭客進行SQL Injection攻擊,是使用手動工具,且有目的的攻擊,邱銘彰表示:「但這一次駭客透過自動化SQL Injection蠕蟲的感染方式,讓資料庫的每一個欄位,都可能被安插惡意連結或是被改寫。」
阿碼科技資安顧問余俊賢指出,這次駭客只用一行攻擊碼就成功入侵,將惡意連結注入到後端資料庫,將惡意連結安插在所有資料庫的欄位中。他說,因為程式碼只有一行,很難在Log(記錄檔)檔中發現。
更有甚者,邱銘彰表示,以往企業用戶杜絕SQL Injection攻擊的方式之一,是關閉錯誤訊息以預防自動化工具的掃描,但這一次的攻擊並不需要透過錯誤代碼查詢入侵途徑。「只要注入點未作輸入資料驗證,注入SQL Injection漏洞即可完成攻擊。」余俊賢說,這也使得一些認為已經關閉錯誤訊息就可以高枕無憂的網站,仍大量遭到SQL Injection攻擊。
邱銘彰指出,另外一個值得關注的現象,是被植入惡意連結、惡意程式的受駭電腦,一旦電腦遭駭客控制,就會變身成為攻擊其他電腦的加害者。余俊賢補充說明,這次駭客第一波攻擊的對象,多是流量大、處理器運算功能佳的網站,將這波網站成功植入惡意程式後,再藉由這些網站去攻擊其他的網站。「駭客正在布局,等待一個零時差攻擊(Zero Day Attack)的機會,再一次爆發。」余俊賢說。
古貴安表示,這一次駭客自動化的SQL Injection攻擊,主要是利用包含微軟IE瀏覽器MS06-014、MS07-017,以及RealPlayer、迅雷等程式的漏洞進行攻擊。黃耀文指出,這次許多駭客攻擊主機的IP位址位於中國,加上許多惡意程式都經過加殼(Pack),一般防毒軟體對於這樣的攻擊手法的辨識率很低。
某醫學中心的分院網站遭受到此次攻擊。該分院資訊主管表示,在4月份就出現小規模的攻擊,這次因為遇到假日,臺北總院的IT人員從頻寬和流量監控發現異常現象後,因為資料庫被大量改寫,為了確保資料安全性,便將網站伺服器關閉1天,進行後續的補救措施。
該主管表示,面對這樣的攻擊手法,醫院有意重新安裝資料庫作業系統,並重新修補所有系統與程式漏洞,希望能夠降低遭到SQL Injection攻擊的機會。在流量監控上,也透過封鎖外部IP和特定通訊埠,並暫時禁止醫院其他部門修改網頁內容的權限。不過,該主管指出,先前一些大規模網路攻擊,該醫院可能因為有防備或事先預警躲過一劫,「但網路攻擊手法層出不窮,在沒有百分之百的防禦方式下,面對各種網路威脅與攻擊手法,醫院只能在成本與技術的綜合評估下,戒慎恐懼的面對每一次的網路威脅。」該IT主管說。
面對層出不窮的SQL Injection攻擊,IBM ISS全球資安策略總監Gunter Ollmann表示,除了在軟體開發上,謹守SDLC(軟體開發生命周期)的開發準則外,「每天、每周持續針對Web應用程式進行掃描,每年至少2次的弱點評估(VA)或滲透測試(PT),是有效的預防方式。」他說。
企業如何自我檢查是否遭到SQL Injection攻擊?土法煉鋼的方式就是利用搜尋引擎加上適當的關鍵字,例如SQL攻擊字串或者是惡意網址,就可以自我檢查企業網站是否被植入惡意連結。余俊賢指出,企業除了可以申請免費試用的Hack Alert服務外,也可以透過搜尋Web Log是否有特定SQL攻擊字串,並看該Log是否回應HTTP 200訊息。他說:「若Web Log有回應HTTP 200訊息,就表示企業已經被入侵。」
古貴安指出,大量SQL Injection攻擊主要是針對資料庫,並伺機植入惡意連結。他說,企業的資料庫管理人員面對這一波的攻擊趨勢時,應該要檢查資料庫內容是否遭到任何竄改,若有,除了進行資料庫的復原作業外,也應該修補網站所有程式碼的SQL Injection漏洞,避免駭客再次入侵,竊取網站資料。文⊙黃彥棻
● RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]
● GLCHAT.GLChatCtrl.1 [CVE-2007-5722]
● MPS.StormPlayer.1 (暴風影音) [CVE-2007-4816]
● QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚無CVE編號
● DPClient.Vod (迅雷) [CVE-2007-6144]
● BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]
● VML Exploit[CVE-2006-4868,MS06-055]
● PPStream [CVE-2007-4748]
資料來源:阿碼科技,2008年5月
從4月底開始,在歐美陸續發生大量SQL Injection(隱碼攻擊)攻擊事件,而這樣的攻擊手法,在短短半個月時間,就已經從歐美蔓延到亞洲,臺灣、中國的網站更是首當其衝。根據資安公司觀察,此次駭客發動的大量SQL Injection攻擊,受駭網站不乏知名企業和公益組織,光是臺灣網域(.tw),就已經有近2,000筆網頁,被植入惡意連結,甚至出現單一網站被植入221個惡意程式。
SQL Injection長期以來,名列多種Web攻擊手法排名榜前2名。IBM ISS資安研究中心X-Force日前就曾經指出,「全球超過50萬個網站遭到第三波大量SQL Injection攻擊。」資安公司阿碼科技(Armorize)由部署在企業端的應用程式防火牆的記錄發覺,這種大量SQL Injection攻擊已經從歐美蔓延到亞洲。
阿碼科技從客戶端應用程式防火牆記錄中,發現大量具有相同特徵的SQL Injection攻擊。該公司執行長黃耀文表示,根據5月16日當天的統計,光是臺灣網域(.tw)的網站,就有215個網站遭到大量SQL Injection攻擊,至少有1,988個不同網頁,被植入大量惡意連結,而中國網域(.cn)的網頁,也有超過4,600個惡意連結。
黃耀文說,這些被植入惡意連結的臺灣網站,每天的瀏覽數量高達10萬次。他說,其中也發現有單一網站,被植入221個惡意連結。黃耀文表示,這個統計只是針對單一惡意連結的統計結果。
阿碼科技資安技術顧問古貴安在發現這樣的攻擊手法後,第一時間回溯追蹤駭客攻擊流程,他循線找到駭客用來記錄此次攻擊成效的網站。在資料仍處於公開的行況下,取得了駭客記錄攻擊結果的資料。他分析5月16日的駭客攻擊成果發現,至少有1萬個網站成功植入惡意程式,相關的惡意連結則高達10萬個。
若一步分析,古貴安指出,攻擊者以自動化程式搭配Google搜尋引擎,找到有SQL漏洞的網站,將惡意連結植入資料庫中。「整個過程已經自動化,比起先前人工作業的SQL Injection攻擊,先進行掃描再入侵的方式,自動化攻擊的效率和數量都大為增加。」他說。
阿碼科技艾克索夫資安實驗室首席資安顧問邱銘彰表示,從這一波大量SQL Injection攻擊首度發現,自動化SQL Injection攻擊加上自動化搜尋引擎尋找目標,以及可以自動化散布進行網頁掛馬的蠕蟲。以前駭客進行SQL Injection攻擊,是使用手動工具,且有目的的攻擊,邱銘彰表示:「但這一次駭客透過自動化SQL Injection蠕蟲的感染方式,讓資料庫的每一個欄位,都可能被安插惡意連結或是被改寫。」
阿碼科技資安顧問余俊賢指出,這次駭客只用一行攻擊碼就成功入侵,將惡意連結注入到後端資料庫,將惡意連結安插在所有資料庫的欄位中。他說,因為程式碼只有一行,很難在Log(記錄檔)檔中發現。
更有甚者,邱銘彰表示,以往企業用戶杜絕SQL Injection攻擊的方式之一,是關閉錯誤訊息以預防自動化工具的掃描,但這一次的攻擊並不需要透過錯誤代碼查詢入侵途徑。「只要注入點未作輸入資料驗證,注入SQL Injection漏洞即可完成攻擊。」余俊賢說,這也使得一些認為已經關閉錯誤訊息就可以高枕無憂的網站,仍大量遭到SQL Injection攻擊。
邱銘彰指出,另外一個值得關注的現象,是被植入惡意連結、惡意程式的受駭電腦,一旦電腦遭駭客控制,就會變身成為攻擊其他電腦的加害者。余俊賢補充說明,這次駭客第一波攻擊的對象,多是流量大、處理器運算功能佳的網站,將這波網站成功植入惡意程式後,再藉由這些網站去攻擊其他的網站。「駭客正在布局,等待一個零時差攻擊(Zero Day Attack)的機會,再一次爆發。」余俊賢說。
古貴安表示,這一次駭客自動化的SQL Injection攻擊,主要是利用包含微軟IE瀏覽器MS06-014、MS07-017,以及RealPlayer、迅雷等程式的漏洞進行攻擊。黃耀文指出,這次許多駭客攻擊主機的IP位址位於中國,加上許多惡意程式都經過加殼(Pack),一般防毒軟體對於這樣的攻擊手法的辨識率很低。
某醫學中心的分院網站遭受到此次攻擊。該分院資訊主管表示,在4月份就出現小規模的攻擊,這次因為遇到假日,臺北總院的IT人員從頻寬和流量監控發現異常現象後,因為資料庫被大量改寫,為了確保資料安全性,便將網站伺服器關閉1天,進行後續的補救措施。
該主管表示,面對這樣的攻擊手法,醫院有意重新安裝資料庫作業系統,並重新修補所有系統與程式漏洞,希望能夠降低遭到SQL Injection攻擊的機會。在流量監控上,也透過封鎖外部IP和特定通訊埠,並暫時禁止醫院其他部門修改網頁內容的權限。不過,該主管指出,先前一些大規模網路攻擊,該醫院可能因為有防備或事先預警躲過一劫,「但網路攻擊手法層出不窮,在沒有百分之百的防禦方式下,面對各種網路威脅與攻擊手法,醫院只能在成本與技術的綜合評估下,戒慎恐懼的面對每一次的網路威脅。」該IT主管說。
面對層出不窮的SQL Injection攻擊,IBM ISS全球資安策略總監Gunter Ollmann表示,除了在軟體開發上,謹守SDLC(軟體開發生命周期)的開發準則外,「每天、每周持續針對Web應用程式進行掃描,每年至少2次的弱點評估(VA)或滲透測試(PT),是有效的預防方式。」他說。
企業如何自我檢查是否遭到SQL Injection攻擊?土法煉鋼的方式就是利用搜尋引擎加上適當的關鍵字,例如SQL攻擊字串或者是惡意網址,就可以自我檢查企業網站是否被植入惡意連結。余俊賢指出,企業除了可以申請免費試用的Hack Alert服務外,也可以透過搜尋Web Log是否有特定SQL攻擊字串,並看該Log是否回應HTTP 200訊息。他說:「若Web Log有回應HTTP 200訊息,就表示企業已經被入侵。」
古貴安指出,大量SQL Injection攻擊主要是針對資料庫,並伺機植入惡意連結。他說,企業的資料庫管理人員面對這一波的攻擊趨勢時,應該要檢查資料庫內容是否遭到任何竄改,若有,除了進行資料庫的復原作業外,也應該修補網站所有程式碼的SQL Injection漏洞,避免駭客再次入侵,竊取網站資料。文⊙黃彥棻
大量SQL Injection攻擊所利用的軟體漏洞列表
● MS06-014 [CVE-2006-0003] ● MS07-017 [CVE-2007-1765] ● RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]
● GLCHAT.GLChatCtrl.1 [CVE-2007-5722]
● MPS.StormPlayer.1 (暴風影音) [CVE-2007-4816]
● QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚無CVE編號
● DPClient.Vod (迅雷) [CVE-2007-6144]
● BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]
● VML Exploit[CVE-2006-4868,MS06-055]
● PPStream [CVE-2007-4748]
資料來源:阿碼科技,2008年5月
