Từ điển
Dịch văn bản
 
Từ điển Anh - Việt
Tra từ
 
 
Dịch song ngữ - Khoa học - Công nghệ
Mass SQL Injection Attacks Uses Automated Tools, Search to Infect New Sites
Các cuộc tấn công SQL Injection hàng loạt sử dụng các công cụ tự động, tìm kiếm để gây hại cho các trang Web mới
Attackers are using search results as a reconnaissance tool to identify sites to hit in the latest mass injection attack directing users to Lilupophilupop.com.
Những kẻ tấn công đang sử dụng các kết quả tìm kiếm như một công cụ do thám để xác định các trang web sẽ bị “đánh” trong cuộc tấn công Injection hàng loạt mới nhất hướng người dùng đến trang Lilupophilupop.com.

Security researchers monitoring mass SQL injection attacks warned the latest one may be nearing a million infected pages using a combination of automated tools and reconnaissance using search engines.

Các nhà nghiên cứu bảo mật theo dõi các cuộc tấn công SQL Injection hàng loạt được cảnh báo là cuộc tấn công mới nhất có thể làm gần một triệu trang web bị nhiễm độc bằng cách sử dụng một sự kết hợp giữa các công cụ tự động và do thám sử dụng các cỗ máy tìm kiếm.

The "Lilupophilupop" SQL injection campaign has infected a little over a million URLs since it was first detected in early December, according to a post on the SANS Institute's Internet Storm Center. The security firm detected only 80 corrupted URLs when it first noticed the campaign. Mark Hofman, a handler at the SANS Institute's Internet Storm, acknowledged the list contained duplicate URLs but regardless of the actual number of infected sites, the campaign was definitely growing.

Chiến dịch SQL injection của "Lilupophilupop" đã lây nhiễm ít hơn một triệu URL kể từ khiđược phát hiện đầu tiên vào đầu tháng 12, theo một bài đăng trên chương trình Internet Storm Center của Viện SANS. Công ty bảo mật này đã phát hiện chỉ có 80 URL bị hỏng khi họ lần đầu tiên chú ý đến chiến dịch này. Mark Hofman, người quản lý chương trình Internet Storm tại Viện SANS, thừa nhận danh sách này chứa các URL trùng lặp nhưng bất kể số lượng thực tế của các trang web bị lây nhiễm, chiến dịch này được xác định ngày càng gia tăng.

Victims who land on the infected URLs are redirected to other sites and wind up on Lilupophilupop.com, which can display an "adobeflash page" where they are encouraged to download what they think is an update to Adobe Flash, or to a fake antivirus site. The scam's ultimate goal is to trick victims into paying for software or antivirus protection they don't need, and will likely cause more problems once installed.

Nạn nhân truy cập vào các URL bị nhiễm độc sẽ bị chuyển hướng đến các trang web khác và đưa đến Lilupophilupop.com, có thể hiển thị một "trang adobeflash" mà họ được khuyến khích tải về cái mà họ nghĩ là bản cập nhật cho Adobe Flash hoặc chuyển đến một trang web chống virus giả mạo. Mục tiêu cuối cùng của âm mưu này để đánh lừa nạn nhân trả tiền cho phần mềm hoặc phòng chống virus mà họ không cần thiết, và có khả năng gây ra nhiều vấn đề hơn một khi đã cài đặt.

"Sources of the attack vary, it is automated and spreading fairly rapidly," Hofman wrote in an initial analysis of the attack.

Nguồn gốc của cuộc tấn công khác nhau, nó được tự động và lây lan khá nhanh chóng ", Hofman viết trong một bài phân tích đầu tiên về cuộc tấn công.

This newest mass injection is similar to the LizaMoon attack, which was responsible for redirecting 1.5 million URLs to fake antivirus pages. Websites based in the Netherlands are the biggest victims of Lilupophilupop, followed by French sites, according to the SANS Institute. Sites with backends running on IIS, ASP or Microsoft SQL Server seem to be the primary target.

Theo Viện SANS, cuộc tấn công Injection hàng loạt mới nhất này là tương tự như cuộc tấn công LizaMoon mà chịu trách nhiệm cho việc hướng 1,5 triệu URL vào các trang web chống virus giả mạo. Các trang web đặt tại Hà Lan là những nạn nhân lớn nhất của chiến dịch Lilupophilupop,tiếp theo đó là các trang web ở Pháp. Các trang web với các chương trình phụ trợ chạy trên nền tảng IIS, ASP, Microsoft SQL Server dường như là mục tiêu chính.

"If you want to find out if you have a problem just search for '<​script src=http://lilupophilupop.com/' in Google and use the site: parameter to hone in on your domain, Hofman said.

"Nếu bạn muốn tìm hiểu khi gặp vấn đề, chỉ cần tìm kiếm đoạn mã“<script src = http://lilupophilupop.com/ trong Google và sử dụng trang web: tham số để cải thiện trong tên miền của bạn”. Hofman nói.

Attackers often use Google and other search engines to identify which Websites are vulnerable as part of their initial research, Rob Rachwald, director of security strategy at Imperva, told eWEEK. The searches may be as simple as looking for Websites that are running off-the-shelf content management systems or other software packages that have known vulnerabilities, such as phpMyAdmin, a popular Web-based front-end interface for managing SQL databases, he said. There are also certain parameters that can be used to find open ports or even what scripts are available on the server.

Kẻ tấn công thường sử dụng Google và các công cụ tìm kiếm khác để xác định các trang web có lỗ hổng bảo mật như là một phần tìm hiểu đầu tiên của chúng. Rob Rachwald, giám đốc chiến lược an ninh tại Imperva nói với eWeek. Các tìm kiếm có thể đơn giản như tìm kiếm các trang web đang chạy hệ thống quản lý nội dụng có sẵn hoặc các gói phần mềm khác được biết có chứa các lỗ hổng bảo mật chẳng hạn như phpMyAdmin, một giao diện dựa trên Web để quản lý cơ sở dữ liệu SQL, ông nói . Ngoài ra còn có các thông số nhất định mà có thể được sử dụng để tìm các cổng mở hoặc ngay cả những kịch bản có sẵn trên máy chủ.

Security administrators can do what the attackers do and run queries with various technical parameters, also known as "Google Dorks," on the Website to see what shows up in the search results, according to Rachwald. Once the problems on the server are exposed, they can then be cleaned up, according to Rachwald.

Quản trị viên bảo mật có thể làm những gì mà những kẻ tấn công làm và chạy các truy vấn với các thông số kỹ thuật khác nhau, cũng được gọi là "Google Dorks" trên trang web để xem những gì hiển thị trên kết quả tìm kiếm, theo Rachwald. Một khi các vấn đề trên máy chủ được xuất hiện, sau đó chúngthể được xóa đi.Theo Rachwald.

Attackers often automate the search process using bots. A recent Imperva report showed that just 10 IP addresses were responsible for approximately 40 percent of SQL injection attacks. "With such numbers, blacklisting makes sense," Rachwald said. Blacklisting alone won't stop SQL injection attacks, but it can reduce some of the sources of attack.

Kẻ tấn công thường tự động quá trình tìm kiếm bằng cách sử dụng các chương trình phần mềm. Một báo cáo gần đây của Imperva cho thấy, chỉ 10 địa chỉ IP chịu trách nhiệm cho khoảng 40% các cuộc tấn công SQL Injection. "Với những con số như vậy, việc lập danh sách đen là điều có ý nghĩa", theo Rachwald. Chỉ riêng danh sách đen thì sẽ không thể làm ngưng các cuộc tấn công SQL Injection, tuy nhiên nó có thể làm giảm một vài điểm xuất phát của cuộc tấn công.

There are also automated SQL attack tools available, such as SQL map and Havij. These tools each have unique patterns and fingerprints that can be used to identify them. Administrators can identify different patterns of automated attacks by examining HTTP headers and application parameters and block the malicious tool from accessing the application at all.

Ngoài ra còn có các công cụ tấn công SQL tự động có sẵn chẳng hạn như SQL map và Havij. Những công cụ này đều có các mẫu và dấu vết riêng có thể được sử dụng để nhận dạng chúng. Quản trị viên có thể xác định các mẫu khác nhau của các cuộc tấn công tự động bằng cách kiểm tra HTTP Header, các thông số của ứng dụng và ngăn chặn các công cụ độc hại truy cập vào bất kỳ ứng dụng nào.

"Code review is arduous and expensive, but it gets the problem fixed, hopefully for good," said Rachwald.

“Xem xét lại mã nguồn thì khó khăn và tốn kém nhưng sự cố sẽ được giải quyết, hy vọng tốt hơn", Rachwald cho biết.

Even if an organization knows there are security flaws in the application, there may be several reasons as to why the flaws can't be fixed immediately. The source code may not belong to the organization or the developers may be backlogged and not able to make the fix. A Web application firewall will also help prevent attacks as it can be used to block attacks from exploiting the vulnerability in the application, according to Rachwald.

Theo Rachwald ngay cả khi một tổ chức biết có lỗ hổng bảo mật trong ứng dụng, có thể có nhiều lý do dẫn đến tại sao những lỗ hổng đó không thể được sửa chữa ngay lập tức. Mã nguồn có thể không thuộc về tổ chức hoặc các nhà phát triển có thể bị dồn việc và không thể sửa lỗi này. Một bức tường lửa ứng dụng web cũng sẽ giúp ngăn chặn các cuộc tấn công vì nó có thể được sử dụng để chặn các cuộc tấn công từ việc khai thác lỗ hổng trong ứng dụng.

 
Đăng bởi: thanhtnguyen
Bình luận
Đăng bình luận
1 Bình luận
az08(31/01/2012 19:57:42)
de
Đăng bình luận
Vui lòng đăng nhập để viết bình luận.
Gửi