Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 17. juli 2008

Nok en SQL-oppdatering

Her en kort oppdatering på SQL injection-aktiviteten som pågår. Vi ser en stadig økning i antall kilder som angriper nettsteder og forsøker å injecte ulike domener. Den siste uken har all observert SQL injection-aktivitet vært knyttet til Danmec/Asprox. Under vises en oversikt over antall unike kilder vi har sett pr. dag.



Fra 21. juni til 16. juli har vi sett over 140000 unike kildeadresser. Den siste uken, fra 9. juli til 16. juli, registrerte vi 78400 unike kildeadresser.

Endringer i angrep
Vi ser også at det nå ligger referanser til /fgg.js på enkelte infiserte nettsteder, men på grunn av blant annet plasseringen av script-tag'ene, tror vi ikke dette er et resultat av de vanlige SQL injection-angrepene (til tross for at det er de samme kjente "Danmec-domenene" som benyttes).
Referansen til /fgg.js er typisk å finne nederst på siden, rett foran den avsluttende body-taggen:



Derimot ser vi at det fremdeles injectes referanser til /ngg.js som tidligere (og /b.js er fremdeles aktivt på eldre infiserte nettsteder).

Oversikten over domener som blir forsøkt injectet er også oppdatert:

Trykk på bildet for full oversikt

tirsdag 15. juli 2008

Malvertising fra 247mediadirect

Enkelte bannerannonser er mer uønsket enn andre - og bannere fra 247mediadirect er definitivt en av disse.

Ondsinnede reklameannonser (malvertising) har vært en økende trend dette året, og de siste tilfellene vi har observert har forsøkt å utnytte svakheter i sårbare Flash-installasjoner for å installere trojanere.

Gjennom en annonsedistributør, Zedo, ble det nylig vist en tilsynelatende normal annonse på en Facebook-applikasjon, opprinnelig fra 247mediadirect. Ved nærmere undersøkelse viste det seg at denne annonsen også inneholdt en iframe som pekte videre til en Flash-exploit. Under vises HTML-koden for annonsen som dukket opp hos brukeren:



Her ser vi at det i starten av koden vises et bilde med link, men like etter ser vi en iframe med størrelse 1x1 piksler. Denne iframe'en laster et obfuskert javaskript i bakgrunnen som sjekker hvilken versjon av Flash som er installert, og bruker dette for å videresende deg til en exploit som er skreddersydd for akkurat din nettleser.

Like etter at den skreddersydde exploiten blir lastet ned i bakgrunnen blir payloaden eksekvert, og en trojaner lastes ned og kjøres på systemet.

Disse exploitene er bekreftet å fungere på Windows XP SP2 med Flash 9.0.115 med Internet Explorer 7.0 og Firefox 2.0. Versjon 9.0.124 av Flash var ikke sårbar for dette angrepet.

Hva gjør den
Trojaneren som blir lastet ned og eksekvert på systemet har forholdsvis god antivirus-dekning (oppdaget av 25/33) og blir gjenkjent som Firu og Bohmini.A.

Når trojaneren kjøres kopieres den til \Windows\System32\06sf8UHq.exe (filnavnet er tilfeldig), og det legges til 24 nye oppgaver i "Scheduled Tasks" som gjør at trojaneren blir kjørt rutinemessig. Oppgavene som blir lagt til blir navngitt At1, At2, At3, ..., At24. Se under for eksempel:



Denne trojaneren forsøker også å kontakte følgende IP på port 80/tcp for å C&C-kommunikasjon:

194.126.193.157

Anbefalinger
Det anbefales å sjekke hvilken versjon av Flash man har installert, og sørge for at siste versjon er installert.

For å sjekke hvilken versjon av Flash du har installert kan du besøke denne siden.

Ellers anbefales det å blokkere all tilgang til 247mediadirect.com (202.75.35.72) samt blokkere/logge aktivitet mot 194.126.193.157 for å finne eventuelle infisert klienter.

torsdag 10. juli 2008

Identifisere SQL-injection angrep

Vi har den siste tiden fått en del forespørsler på hvordan den siste tidens SQL-injection angrep kan identifiseres og hvordan det hele foregår. Med denne posten håper jeg at noe av dette kan bli oppklart, samt komme med noen tips om noen verktøy som forhåpentligvis kan være nyttig for noen.

Angrep
SQL-injection angrepene vi nå ser tusenvis av i døgnet pleier å være på følgende form.

Vi kan her se at det forsøkes å sende med SQL-kode etter parameterverdien i HTTP-forespørselen. Angriperen håper her at parameteren som sendes inn ikke vaskes/valideres, slik at denne strengen blir en forlengelse av en eksisterende SQL-spørring. I et forsøk på å skjule den underliggende koden er deler av strengen obfuskert ved hjelp av en hex-streng. Dekodet blir denne strengen til følgende.

En detaljert beskrivelse av hva som skjer er tilgjengelig her hos sans.org. Resultatet er at alle felter for tekst, i samtlige tabeller hvor skriverettigheter er gitt, vil få injisert følgende streng:

Det betyr at alle felter som brukes under genereringen av nettsiden som sql brukeren hadde rettigheter til å skrive til, vil nå inneholde dette scriptet, og dermed videresende besøkende til den fiendtlige nettsiden.

Identifisere sider som blir angrepet
På Microsofts open source community codeplex er det blitt utviklet et verktøy som, ved å gå igjennom loggfiler på en IIS server, skal kunne finne sider på serveren som har vært utsatt for SQL-injection angrep. Resultatet blir skrevet til en CSV-fil, som skal kunne åpnes i Excel eller lignende. Verktøyet identifiserer kun sider som er blitt angrepet, men sier ingenting om angrepet var vellykket eller ikke.

Verktøyet er tilgjenglig her: SQLInjectionFinder.exe (1.5.0)

Finne SQL injection svakheter i ASP
Microsoft publiserte 24. juni et verktøy som ved statisk kodeanalyse skal være i stand til å identifisere SQL-injection svakheter i ASP sider. Hvordan det brukes, samt litt beskrivelse av hva de ulike resultatene betyr er tilgjengelig hos Microsoft support.

Verktøyet kan lastes ned her: Source Code Analyzer for SQL Injection

Dette verktøyet fungerer dessverre ikke på ASP.NET.

onsdag 9. juli 2008

Oppdateringer rundt SQL-injections

Da var det tid for en liten oppdatering rundt de pågående SQL-angrepene.

Når det gjelder Danmec/Asprox, så injectes det stadig nye domener som peker til samme flux-net. Vi ser også at antall kilder som utfører disse angrepene øker. Under vises en oversikt over antall unike kildeadresser som har angrepet nettsteder som er overvåket av våre systemer.



Totalt antall unike kildeadresser vi har observert i perioden 21. juni til 8. juli var 69202. Under vises en oversikt over hvilke land disse kommer fra (basert på whois-oppslag hos Team Cymru).




Endringer i angrep
Tidligere har Danmec/Asprox injectet script-tag'er med referanse til /b.js, men dette er nå endret og det refereres nå til /ngg.js istedet. Innføringen av det nye skriptet ble først observert 2. juli, og det har etter dette tilsynelatende kun blitt injectet ngg.js (NB: det finnes fortsatt referanser til /b.js på tidligere infiserte nettsteder, og dette skriptet er fremdeles aktivt!)

For de som måtte filtrere /b.js i web-proxyer bør det også nå filtreres på /ngg.js i tillegg.

Se under for eksempel på et infisert nettsted (dette nettstedet har blitt infisert flere ganger, både med b.js og ngg.js):



Med innføringen av ngg.js har også skriptet blitt utvidet til å sjekke brukerens språkvalg - og dersom språket er satt til, blant andre, russisk eller kinesisk, så vil ikke nettleseren bli forsøkt utnyttet.



Exploits
Dersom språket er satt til f.eks norsk eller engelsk kan det bli forsøkt utnyttet svakheter i følgende applikasjoner/tillegg (avhengig av nettleser):

Microsoft Data Access Components (MDAC) Function Code Execution (MS06-014)
AOL SB.SuperBuddy.1 - LinkSBIcons
QuickTime.QuickTime.4

Andre SQL-injections
I tillegg til Danmec/Asprox-aktiviteten ser vi også tilsvarende angrep hvor det forsøkes å spre andre typer trojanere. Dette er typisk passordstjelende trojanere som forsøker å stjele brukerkontoer for online-spill.

Angrepene mot nettstedene utføres på samme måte som Danmec/Asprox, men det dreier seg om langt færre kildeadresser, og det er heller ikke et større flux-net inne i bildet her.

Et av de typiske script-tag'ene som injectes refererer til /ri.js, og domenene som benyttes (www.loveqianlai.cn, www.maigol.cn, www.hiwowpp.cn, ...), resolver stort sett til samme ip-adresse:

60.31.177.179

Denne ip'en bør blokkeres.

Oppdatert domene-oversikt
Ellers kan vi også nevne at oversikten over domener som blir forsøkt injectet er oppdatert (vi oppdaterer denne mer eller mindre fortløpende):


Trykk på bildet for full oversikt

 
>