深入解析Mass SQL Injection

近期的Mass SQL Injection攻擊，讓整個華語地區的企業IT陷入恐慌的氣氛，IT人員深感無力，對廠商更有迫切的壓力。其實，只要心態上如履薄冰，做法上扎實穩健，看清攻擊手法的本質後，在IT人與廠商共同配合之下，應該可以度過難關。

在亞洲地區擴大災情之前，其實在國外早有攻擊事件發生，只是規模不若亞洲地區。由於國外的攻擊事件，目標集中在學校（.edu）及組織（.org），而非企業或政府，所以並沒有引起亞洲地區的廣泛注意。

就筆者的觀察，假設此次Mass SQL Injection攻擊與國外的事件有關聯，則國外的攻擊事件可視為在亞洲地區大規模攻擊之前的測試場所。從攻擊的對象、攻擊手法的更新與規模來看，亞洲地區的攻擊，可說在技術上較為成熟且快速，攻擊對象也較具有經濟效益，很難不讓人聯想到攻擊之前的恐嚇行為，與攻擊成功之後的勒索取財等。

當然我們IT人員也不能處於挨打的局面，想要突破困境別無他法，俗話說：「攻擊是最好的防禦」。既然要反擊，總需要有個施力點，因此筆者想就此次的Mass SQL Injection攻擊，分享一些經驗及看法。另外，要打勝這場仗，千萬不要悶著頭幹，也請你的廠商一起來幫忙。

先攻陷資料庫、網站，接著綁架個人端電腦，最後，發動大量攻擊
注意！這次的攻擊路徑與方式並非是全新的型態，而是將舊的手法重新組合！



從圖中我們可以看出來：對伺服器的攻擊屬於SQL Injection類型，至於對使用者電腦入侵則是使用網路釣魚（Phishing）手法。

以往駭客是建立一些含有惡意程式的網站，然後透過電子郵件、即時通訊、部落格等途徑，誘騙使用者上當，進而瀏覽這些網站。只不過，這次駭客不再被動地等魚上鉤，而是主動讓正常的網站變成魚餌，讓使用者在不知不覺中已經上鉤。

筆者將此次的攻擊大致上可分成3階段：
第1階段：Mass SQL Injection
駭客鎖定具有SQL Injection漏洞的網站伺服器及後端的資料庫伺服器，執行Mass SQL Injection。這些漏洞包含靜態網頁中HTML的text、radio button、checkbox和option等表單項目，加上動態網頁中的資料庫伺服器內容，以及網頁呈現會使用到的應用程式，如Flash。

前兩者利用的目標是傳統的SQL Injection，後者則利用應用程式的bug，但皆可將攻擊步驟製作成全自動攻擊工具並大量散播。這部分就如同某些資訊安全廠商所公布的，當自動化工具產生後，攻擊的來源會擴大，攻擊的速度也隨之增快。結果就是將惡意程式或惡意連結植入靜態網頁、資料庫伺服器和Flash中。

第2階段：鎖定使用者電腦
這個階段包含3個步驟，當使用者瀏覽這些遭到攻陷的網站時，被駭客植入的惡意程式或惡意連結，會將使用者的連線重新導引至惡意程式所在的伺服器，然後，從中下載更多的惡意程式，例如特洛依木馬、後門、USB病毒和遠端控制程式。這些做法，無非是為了綁架這些使用者的電腦，以便後續利用，甚至有可能透過USB病毒，持續在企業內部擴大綁架範圍。

第3階段：商業行為
這個階段才是最終目的。這些被綁架的電腦成為被利用的工具及商品，換句話說，當駭客接單後，依金主(非雇主)的要求發動對競爭對手的DDoS攻擊，或是以恐嚇方式迫使目標付出金錢。目前已知的駭客商業行為，通常是在異地接單後，在異地遙控本地被綁架的電腦執行攻擊行為，在電腦犯罪的蒐證上具有相當的難度。資料庫、伺服器、網路等系統，全部受影響
在這種情況下，對企業而言，最明顯會受影響的IT系統有好幾種，分別是：

網站伺服器
網站伺服器可能因SQL Injection漏洞而被利用，或是成為第三階段勒索取財的攻擊目標。例如，前陣子某大遊戲網站遭到恐嚇及DDoS攻擊，就是很明顯的例子。

後端的資料庫系統
資料庫系統可能因前端網站伺服器的漏洞，再加上本身對寫入的資料控管很薄弱，而成為儲存注入資料的溫床。然而當攻擊發動，侵襲到這部分時，企業要根除異常的資料，必須付出相當大的代價。

使用者電腦
使用者電腦是駭客的生財工具，絕對是他們打算攻占的場所。但是，現在的攻擊已經不同以往，會盡量讓受攻擊的系統正常運作，當需要發動攻擊時，才會聯合不同的使用者電腦集中火力，同時發動針對特定目標的大量連線。

對外網路頻寬
除了IT系統受影響外，當DDoS攻擊發生時，廣域網路（WAN）的頻寬一定會受到衝擊。這時企業的WAN頻寬被大量占用，可能會波及正常的業務營運。即使企業的網路規畫是將網際網路服務和使用者網路區隔開來，雖然網際網路端的處理可以獨立運作，但那時所影響的，就是使用者網路和公司的商譽。

內部網路頻寬
由內部使用者電腦產生對外的攻擊連線，也勢必會對內部區域網路（LAN）的使用效率大打折扣。當內網頻寬受到影響時，甚至有可能會讓企業日常運作停擺、錯失商機。例如，財務人員無法結算薪資，業務人員無法連上內網伺服器而不能查到正確的價格或成本，導致案子競爭失敗，或者是老闆連不上郵件主機。

與營運相關的伺服器
若下載的惡意程式中還包含USB病毒，則會進一步使影響層面再擴大，IT人員忙於清除病毒，形成IT人員的大量負擔。因此，就會分散注意力，他們疏於管理那些與企業營運相關的伺服器，導致潛在的風險升高。

6種建議防禦措施
我建議，應該回歸到攻擊手法的本質來進行防禦工事，而不以前端後端來考慮。針對SQL Injection的防禦，可以採特效藥和治本等兩種方式進行。

網頁應用程式防火牆
所謂特效藥就是架設網頁應用程式防火牆（Web Application Firewall，WAF），利用這類產品本身的防禦機制，配合廠商的專業經驗和知識，在最短時間內達到防護。使用WAF的好處在於快速，效果也不錯，當企業面臨傳統的SQL Injection攻擊時，有相當大的比例可以阻擋下來。但缺點就是當駭客SQL Injection的手法改變時，有可能會失效。此時只能依賴產品原廠的更新和建置／維護廠商的水準了。

修改網頁和程式原始碼
治本的方式就只有修改源碼一途。但是，源碼並不用全部變更。第一階段可以僅針對任何進入點（entry point）來修改，例如前述的text、radiobutton、checkbox和option等表單元件；第二階段則是注意由輸入點而後送資料的中間程式，再檢查一次這個地方；第三階段就是在寫入資料庫之前，由資料庫伺服器端執行最後一次檢查。

架設內部網路防火牆
在網站伺服器和資料庫伺服器之間，我建議再針對內部網路架設一臺防火牆，嚴格管制資料庫伺服器端主動發出的網路連線。基本上資料庫伺服器是提供服務、供其他系統存取的伺服器，很少對用戶端主機提出服務要求。若情況不允許這樣的架構，則可以在網際網路端的防火牆上設定，禁止資料庫伺服器對外的主動連線。而不同廠牌的資料庫伺服器，本身通常也具備有一些安全性機制，這些也對防禦都有一定程度的幫助。

注意應用程式漏洞的修補與防堵
比較特別的是本次攻擊又特別針對Flash的漏洞。對廠商及伺服器系統管理者而言，只有更密切注意Adobe的漏洞修補工作。當然也可以考慮串聯Flash的使用者，向Adobe施壓，迫使他們盡快產生Patch，使整體防禦狀態達到完整。之前Adobe在臺灣既然執行了大規模的軟體合法授權的稽核行動，去檢查客戶是否購買足夠數量的授權，現在也是他們該展現相對服務品質的時候了。

Proxy伺服器
盡量維持閘道與端點安全，端點（Endpoint）的部分，就需要管理者和使用者一同努力。管理者可以在Proxy伺服器先行阻擋已知的URL網址，更可以同時配合特定廠商的網頁過濾產品，達到雙重防護，例如微軟ISA Server、Websense、趨勢IWSS等。使用者的電腦就是要配合更新作業，例如都能安裝到最新的作業系統修補程式，以及將防毒軟體的病毒碼和掃毒引擎安裝到最新版本。若公司本身有Active Directory的架構，更可以考慮將相關的資安政策套用至群組原則物件（GPO）中，同時落實在資安政策面和技術面。

請ISP幫忙
最後一道防線需要ISP協助。當前面的防禦措施都不見效果，這時最有可能發生DDoS的攻擊，絕對需要ISP配合，由他們將特定的連線進行限頻，或是阻擋來降低DDOS的影響。若DDoS的效果遠低於駭客的預期，原本綁架用戶端電腦的作用就大打折扣了，而且那些作為商業行為的「商品」，挾持它們的價值，也會貶低至缺乏販賣意義。

舊方法重新組裝，依然能夠造成重大損害
這次駭客攻擊並非是新型態的攻擊手法，而是將舊的手法重新組合，因此我們只要能看清這部份的事實，針對目前已知的攻擊手法去防範，就可以收到很不錯的效果。

作者簡介：
徐士清─宏碁電腦資訊安全與服務部主任工程師
曾任臺灣知名資安廠商的產品經理及專案經理，擁有RHCE及CEH認證，對於資訊安全有濃厚的興趣，因此畢業後從事非本科系的資訊類工作。日常的消遣是線上遊戲──魔獸世界，從遊戲中，觀察虛擬世界的駭客行為與經濟活動。對於現實生活中的駭客新聞相當關注，也樂於瞭解與思考駭客的攻擊行動，從而提出防禦措施。