安全研究人员称,大规模SQL注入攻击再次来袭,这次SQL注入攻击主要通过Web应用程序与后端数据库交互的方式来利用非常常见的漏洞,专门针对 ASP、ASP.Net和MS-SQL站点,将受害者重定向到浏览器漏洞利用工具包,例如Blackhole或者Phoenix。
Damballa研究副总裁Gunter Ollmann表示,“大规模SQL注入攻击日益增加,主要是因为这一领域有利可图,能够快速识别容易受到SQL注入攻击的网站的专业黑客和犯罪团伙越来越多,他们通常注入恶意代码作为按安装次数收费或者iFrame注入型业务的一部分来赚钱。”
传统的SQL注入攻击通常是试图从电子商务网站提取数据的手动攻击,而大规模SQL注入攻击是自动化的快速且肮脏的攻击,他们直接将恶意代码拖放到网站中。
Trustwave SpiderLabs高级安全研究人员Ryan Barnett表示:“这就是所谓的跨站点脚本攻击,只是在前端使用SQL注入来注入JavaScript代码,导致将普通用户送到基于不同数据库组件动态创建的网页,然后将恶意JavaScript拖到浏览器中,将用户重定向到恶意网站。”
自2008年以来,大规模SQL注入攻击模式就已经开始流行,去年春天在LizaMoon攻击期间这种SQL注入攻击又出现大范围增加。
根据Zscaler ThreatLabz的报告显示,今年三月份LizaMoon攻击活动又开始激增。该报该称:“一年后,我们仍然能够看到这种攻击活动在进行,我们发现在今年三月份这种攻击活动又开始出现猛增。”
根据Barnett表示,最近几个月的攻击都有类似的M.O.,与曾经用于执行攻击的SQL中的略有不同。
Barnett表示,“他们并没有使用与以前完全相同的脚本,他们选择使用不同的类别名称,这些名称通常用于数据库,例如类别标题、内容标题和首页标题。因此当你动态创建这些网站时,他们的目标是标题HTML标签。他们会准备一个非常接近的标题HTML标签,这样当其进入浏览器时,将会完全清楚已经在浏览器中的标题内容,然后在后面注入以执行JavaScript。”
今年四月,F-Secure和Sucuri Security的研究人员引起了大家对这种攻击的关注,当时这些攻击被重定向到Nikijju.com域。根据Barnett表示,恶意活动仍然位于已经注入的代码的后面,但是最终用户被重定向到的域仍然处于不断变化中。
他表示,“我们在这里强调的是这些攻击者使用的所有域都是处于变化中的,几乎每天都会改变,不过用于利用网站和注入代码的基础设施,攻击者仍然在反复使用,知道用户升级他们的系统。”
Ollmann表示,“首先,这些攻击者必须先于漏洞修复过程,这意味着他们需要知道你在服务器上运行了哪些应用程序,其次,你需要确保你的自定义应用程序被设计为:即使在这些后端系统存在漏洞,这些内容仍然受到保护。”