大規模攻擊事件主因:駭客工具結合Google Hacking
| 
| 
| 
| 
| 
上週起針對台灣及中國大陸地區中文網頁的大規模攻擊行為有了初步分析結果,阿碼科技在分析攻擊行為後表示,駭客疑似結合了當前流行的駭客自動攻擊工具與 Google的搜尋能力,透過Google搜尋出網頁中可用來注入程式碼的「注入點」,再利用撰寫好的駭客工具在這些「注入點」中填入程式語法,以自動化 手法,快速攻下大量網頁。
「這應是台灣地區有史以來規模最大、進行最快速的SQL Injection攻擊,」阿碼科技執行長黃耀文表示。
根據趨勢科技早前公佈的統計,至少有十萬個中文網頁在一天之內淪陷,其中不乏知名慈善團體網頁,在四川震災重建募款之際,可能讓好心想捐款的民眾反遭植入惡意程式。
所謂SQL Injection,是一種網頁程式碼的寫作漏洞,此漏洞可允許一般使用者在網頁上可供使用者輸入內容的欄位,如討論區、搜尋框等當中輸入SQL指令碼, 並允許其執行,導致一般使用者即可竄改資料庫中的資料。趨勢科技資深技術顧問簡勝財便曾表示,未受過良好安全訓練的網頁應用程式開發人員,即可能留下該漏 洞。事實上,SQL Injection漏洞之嚴重,甚至在去年被開放Web軟體安全計畫(Open Web Application Security Project, OWASP)選定為2007十大Web安全漏洞的第二位。
值得注意的是,此波攻擊中採用的多半是已存在的舊手法,但專家表示,交相整合的運用卻屬少見。
黃耀文表示,透過Google來搜尋網站弱點的Google Hacking以及專業駭客工具等都已存在多時,也是駭客經常利用的手法,但由於過往多半是透過駭客手動搜尋後才發動攻擊,雖然有效,「但規模與擴散速度不至於這麼快,」他說。
他表示,經過與駭客「鬥法」與反向追蹤測試,發現駭客利用位在香港的中控主機,操控20多台位於中國大陸的電腦主機,以散彈式攻擊法對非特定網頁發動攻擊,雖然並非所有被植入語法的網頁都會執行惡意行為,但有大量網頁卻被證實遭植入惡意連結。
以該公司發現、在此波攻擊中被大量植入的其中一個惡意網址為例,就可透過Google在包括馬偕醫院、台北市政府等網站中被找到,不過黃耀文表示,已有部分惡意連結失效,或是被網站管理員移除,但仍有大量網頁仍帶有惡意連結。
在被發現的一千多個惡意連結中,有超過一半並無實質惡意行為,也因此一般用戶在瀏覽這些遭駭網頁時,防毒軟體根本不會發出警訊。
但黃耀文警告,此為駭客去除使用者與網站經營者戒心的手法,「駭客很可能是在進行大規模網站佈局,等待下一個瀏覽器零時差攻擊(Zero Day Attack) 出現後,即可大量收割,打造規模更大的殭屍網路(botnet),」他說。
防範之道則是老生常談。簡勝財提醒一般使用者,最好採用有安全連結過濾服務的資安軟體,避掉危險的網頁連結,黃耀文則建議有經營網站的組織,必須定期對網站安全性進行檢測,以免成為駭客散佈惡意程式的跳板。
http://www.zdnet.com.tw/news/software/0,2000085678,20129505,00.htm
沒有留言:
張貼留言