在5月中,臺灣有許多網站遭受了爆量的Mass SQL Injection攻擊,初步估計有超過10萬臺電腦受害。在短短不到1周的時間,同樣一批駭客,又利用Adobe Flash播放器的漏洞,再度發動攻擊。
資安專家表示,從這幾波駭客的攻擊手法可以發現,這一批駭客,其實是在測試整個Mass SQL Injection攻擊的效率與成效。駭客的目的其實是要找到好用的攻擊手法,在更短的時間內控制更多電腦,進而竊取電腦的資料。
以機器人程式發動大量SQL Injection攻擊
4月底,歐美地區就發現大量的Mass SQL Injection攻擊手法。5月中,資安公司阿碼科技的研究人員,從安裝在企業端的網路應用程式防火牆(WAF),發現這種攻擊已經波及臺灣,他們進一步分析發現,單就5月16日一天,至少就有1萬個網站被這個攻擊手法植入惡意程式,而被植入惡意連結的網頁則高達10萬個。
駭客的攻擊手法,是先利用Google搜尋有SQL漏洞的網站伺服器,再以SQL Injection手法入侵。阿碼科技資安顧問丁性佃表示,Google搜尋引擎會禁止同一個IP來源在短時間內大量搜尋,一旦有類似行為,Google搜尋引擎就會要求使用者輸入圖形驗證碼(CAPTCHAs)或禁止搜尋。丁性佃說,駭客可以大量利用Google搜尋,可能是事先掌控了大量的傀儡電腦,做到以自動化程式大量搜尋有SQL 漏洞的網站,並發動攻擊。
駭客用Flash漏洞 測試攻擊手法精準度
第一波的Mass SQL Injection攻擊主要是針對網站伺服器,攻擊端的IP來源出自中國大陸。敦陽科技資深資安技術顧問楊伯瀚表示,在第一波攻擊中被植入惡意程式的網站伺服器,被駭客利用來發動第二波攻擊,駭客鎖定一般使用者電腦Flash播放器的漏洞,只要瀏覽這些受駭網站的電腦,沒有修補Flash程式的漏洞,那麼惡意程式就有可能入侵成功,進而控制電腦。
數聯資安研發處副總經理張裕敏表示,「這一波Adobe Flash的攻擊中,在5月30日凌晨零點零分就截止,是一個有時效性的攻擊手法,」
張裕敏推測,目前看來駭客是在測試攻擊手法的成效與精準度。當駭客成功驗證了以Google Hacking搭配Mass SQL Injection手法,可以在短時間內攻陷大量網站伺服器,進而控制更多瀏覽網站的電腦之後,也就意味著,這批駭客對受害電腦的掌握度已經到「如入無人之境」的地步。
接下來,駭客就可以在受害電腦大量安裝遙控的機器人程式,除了可以利用這些傀儡電腦發動DDoS攻擊(分散式阻斷式攻擊),更可以趁機竊取、販售電腦裏的個人與企業機密資料資料圖利。
雙管齊下 解決SQL Injection老問題
臺灣企業對於SQL Injection攻擊手法,經常處於束手無策的狀態,楊伯瀚表示,多數人都抱持「以拖待變」的心態,只要個人或公司沒受害、沒見報就好。這樣的狀況不改變,SQL Injection的問題就會繼續存在。
面對SQL Injection攻擊的惡性循環,敦陽科技技術顧問劉俊雄認為,一定得多管齊下才有機會根絕,他說,正本清源之道是修改原始碼,包括源碼檢測(Code Review)、網站掃描(Web Scan)以及滲透測試(Penetration Testing)等方式。
若無法即及修改原始碼,則可利用Web應用程式防火牆(WAF)作為防禦、應急之用。文⊙黃彥棻降低SQL Injection攻擊的3大關鍵
資深的資安研究員數聯資安研發處副總經理張裕敏表示,臺灣企業使用微軟.NET平臺比例很高,若能掌握ASP .NET防禦SQL Injection的3大關鍵,將有助於降低這類攻擊。
iThome問:如何有效防堵SQL Injection的攻擊?
張裕敏答:微軟針對ASP .NET平臺推出許多安全文件,教導開發人員做各種安全參數設定。目前可以從程式開發、與資料庫程式的連結以及IIS 5.0伺服器的設定等3方面著手進行。
問:開發ASP .NET該注意哪些參數的設定?
答:在ASP .NET平臺,微軟也提供各種Web UI元件供開發人員選擇。透過設定這些Web UI元件,能夠幫開發人員在進行各種特殊符號過濾、正規化表示式(Regular Expression),甚至是黑、白名單等設定,都有一些參數可以勾選,避免以前做ASP開發時,所有參數功能都必須自己寫,而常常會出現掛一漏萬的現象。
問:程式與後端資料庫的連結上,需要注意什麼?
答:SQL Injection主要發生原因在於,前端系統丟出的SQL查詢語法不乾淨或有錯誤,導致後端伺服器做了不當的反應。許多開發人員以往習慣直接透過SQL語法去查詢後端資料庫連結。比較好的作法則是,讓前端SQL語法或指令,透過參數化程序的呼叫方式,存取後端的資料庫。一旦前端SQL語法內含惡意符號時,後端資料庫就不會做任何特殊反應。
問:網站伺服器需要注意什麼呢?
答:許多ASP .NET的企業用戶,也都採用微軟IIS 5.0網路伺服器。在IIS伺服器端的設定,主要特別針對Web Config設定檔做參數設定。這樣的參數設定從Cookie、View_State_到認證等,前後超過100多項設定。這些參數設得好,就可以提高Web Server的安全性。
問:什麼是比較省力的IIS伺服器設定方式?
答:這個省力的設定,主要是由中國大陸多人共同開發出來的「通用注入過濾器」。這是一個基於IIS系統的模組,核心由C++撰寫。只要將該程式安裝在IIS伺服器上,就可以保護整個系統檔案,預防被人利用ASP程式漏洞,進而被注入惡意語法,也可以防止資料庫被下載。
目前中國大陸很多網站,都使用這樣的通用注入過濾器,以降低SQL Injection的受害程度。文⊙黃彥棻
|
Mass SQL Injection 3階段攻擊方式 |
| 第1階段 以Google Hacking找尋有SQL漏洞的網站伺服器,植入惡意程式連結
駭客透過自動化機器人程式,利用Google搜尋引擎找出有SQL漏洞的網站伺服器,大量植入惡意程式或惡意連結。臺灣估計至少有超過10萬臺電腦受害。 第2階段 藉由被受駭的網站伺服器,對於瀏覽網站的電腦發動Adobe Flash漏洞攻擊 駭客看準一般電腦使用者不會更新Adobe Flash的漏洞,藉由第一波受駭的網站,去感染更多連網的電腦。如果電腦的Flash漏洞沒有修補,就會成為被駭客掌控的傀儡電腦。 第3階段 下一步:大量傀儡網路與資料外洩 不論是大量SQL Injection攻擊,或者是利用Adobe Flash漏洞發動攻擊,都只是駭客在測試攻擊成效的前哨站而已。當駭客確認攻擊手法能有效達成目標後,就能夠就可發動DDoS(分散式阻斷式攻擊)及竊取販售資料。文⊙黃彥棻 |
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-07
2024-05-06
2024-05-07