Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 9. juli 2008

Oppdateringer rundt SQL-injections

Da var det tid for en liten oppdatering rundt de pågående SQL-angrepene.

Når det gjelder Danmec/Asprox, så injectes det stadig nye domener som peker til samme flux-net. Vi ser også at antall kilder som utfører disse angrepene øker. Under vises en oversikt over antall unike kildeadresser som har angrepet nettsteder som er overvåket av våre systemer.



Totalt antall unike kildeadresser vi har observert i perioden 21. juni til 8. juli var 69202. Under vises en oversikt over hvilke land disse kommer fra (basert på whois-oppslag hos Team Cymru).




Endringer i angrep
Tidligere har Danmec/Asprox injectet script-tag'er med referanse til /b.js, men dette er nå endret og det refereres nå til /ngg.js istedet. Innføringen av det nye skriptet ble først observert 2. juli, og det har etter dette tilsynelatende kun blitt injectet ngg.js (NB: det finnes fortsatt referanser til /b.js på tidligere infiserte nettsteder, og dette skriptet er fremdeles aktivt!)

For de som måtte filtrere /b.js i web-proxyer bør det også nå filtreres på /ngg.js i tillegg.

Se under for eksempel på et infisert nettsted (dette nettstedet har blitt infisert flere ganger, både med b.js og ngg.js):



Med innføringen av ngg.js har også skriptet blitt utvidet til å sjekke brukerens språkvalg - og dersom språket er satt til, blant andre, russisk eller kinesisk, så vil ikke nettleseren bli forsøkt utnyttet.



Exploits
Dersom språket er satt til f.eks norsk eller engelsk kan det bli forsøkt utnyttet svakheter i følgende applikasjoner/tillegg (avhengig av nettleser):

Microsoft Data Access Components (MDAC) Function Code Execution (MS06-014)
AOL SB.SuperBuddy.1 - LinkSBIcons
QuickTime.QuickTime.4

Andre SQL-injections
I tillegg til Danmec/Asprox-aktiviteten ser vi også tilsvarende angrep hvor det forsøkes å spre andre typer trojanere. Dette er typisk passordstjelende trojanere som forsøker å stjele brukerkontoer for online-spill.

Angrepene mot nettstedene utføres på samme måte som Danmec/Asprox, men det dreier seg om langt færre kildeadresser, og det er heller ikke et større flux-net inne i bildet her.

Et av de typiske script-tag'ene som injectes refererer til /ri.js, og domenene som benyttes (www.loveqianlai.cn, www.maigol.cn, www.hiwowpp.cn, ...), resolver stort sett til samme ip-adresse:

60.31.177.179

Denne ip'en bør blokkeres.

Oppdatert domene-oversikt
Ellers kan vi også nevne at oversikten over domener som blir forsøkt injectet er oppdatert (vi oppdaterer denne mer eller mindre fortløpende):


Trykk på bildet for full oversikt

Lagt inn av Morten Kråkvik kl. 23:20

Ingen kommentarer:

Legg inn en kommentar

Abonner på: Legg inn kommentarer (Atom)
 
>