2009年3月25日 星期三

駭客收割SQL Injection成果 發動Flash零時差攻擊

駭客已經在昨天下午開始發動Flash的零時差攻擊,而上週發現的十萬網頁遭SQL Injection攻擊,就是在替此次的零時差攻擊佈局。

本週二(5/27)開始,安全廠商紛紛發現已有駭客開始針對Adobe Flash發動大規模零時差攻擊(Zero Day Attack),利用具備rootkit功能的後門程式,竊取使用者帳號密碼。使用者在Adobe釋出修補程式前,最好先將Flash關閉。

包括趨勢科技、阿碼科技、WebSense等資安業者上週都發稿指出,駭客針對中文網頁發動大規模SQL Injection攻擊。一夜之間有十萬個網頁遭植入惡意程式,且可能是同一集團所為,台灣也有數千個知名大站受影響。

當時就已有資安廠商推測,犯罪集團正在進行大規模網站佈局,等待下一個瀏覽器零時差攻擊出現後大量收割。包括趨勢科技、賽門鐵克、阿碼科技等資安廠商也都在昨天開始發現駭客發動Flash零時差攻擊。

趨勢科技Trend Lab在昨天發現首次針對Flash的零時差攻擊,並已將最新危險網頁加入WRS中。趨勢科技資深技術顧問戴燊指出,駭客是透過已在上波攻擊受害的網站中,將使用者轉址到預藏swf檔案的網頁,使用者就會自動執行Flash而受害。也就是說,上波受害的十萬中文網頁現在都有危險。

阿碼科技執行長黃耀文則表示,駭客已經在昨天下午開始發動Flash的零時差攻擊,而上週發現的十萬網頁遭SQL Injection攻擊,就是在替此次的零時差攻擊佈局。

他說,上週許多被植入的javascrip都是空的,並不會作用,也因此包括Google搜尋的危險網站警告、或是阿碼的Hack Alert都偵測不到。一直等到駭客現在手上已經掌握了漏洞後發動零時差攻擊,加上又是透過使用率相當高的Flash,因此影響力會相當大。

賽門鐵克是透過全球智慧偵測網路發現Flash零時差攻擊的情形,賽門鐵克資深技術顧問莊添發表示,昨天凌晨接到總部訊息告知,有駭客利用Flash的swf檔案進行攻擊,且是大量的、自動化工具。

他進一步指出,這次的攻擊主要是利用SQL Injection植入scrip,如在Google輸入「dota11」就可找到上萬筆被植入此程式的網站,使用者點入那些網站時,惡意程式就會自動呼叫執行swf檔,使用者也會因此受害。

黃耀文進一步解釋此次攻擊的特殊之處,他說,先前駭客都是靠手動的方式,透過SQL Injection入侵,且掛在網站上的攻擊並非零時差,而是當使用者某些元件中沒有安裝修補程式時才會受害。此次卻是自動化的攻擊,並且透過Flash進行大量零時差攻擊,使用者可能根本不會注意到,不過影響力會相當大。

零時差攻擊雖然並非新模式,不過戴燊指出,利用Flash漏洞的零時差攻擊還是第一次。先前例如微軟Windows在去年傳出的動態游標檔案(.ani)的漏洞,也是零時差攻擊的案例。

由於零時差攻擊只能等待軟體廠商釋出更新修補程式,Adobe已得知此訊息,正在加緊修補中。因此在尚未安裝更新程式前,使用者最好暫時先關閉Flash,才能確保安全。

沒有留言:

張貼留言