Epidemia ataków
- 26.04.2011
Masowy atak SQL Injection objął ponad 380 tys. stron, w tym także adresy wykorzystywane przez takie narzędzia jak iTunes.
Przykładem niedawnego ataku były masowe infekcje za pomocą SQL Injection, przeprowadzone na ponad 380 tys. stron WWW. Wśród zakażonych stron były serwisy związane z URL usługi iTunes. Liczba ta obejmuje unikatowe adresy URL, ale niezainfekowane hosty, niemniej nadal jest największym masowym atakiem w historii. Obecne wyszukiwania za pomocą Google wskazują na ponad 1,5 mln trafień z linkiem o strukturze identycznej do tej, która wystąpiła w początkowym ataku. Wyniki wyszukiwań z Google nie zawsze są dobrym wskaźnikiem rozmiarów ataku, gdyż zliczają one każdy unikatowy adres URL lub stronę, ale nie domenę lub witrynę, niemniej dają dobry pogląd na trend rozwoju ataku w czasie. Początkowo Google wskazywało na 500 tys. stron z podobnym linkiem, zatem atak nadal się rozwija. Gdy narzędzia WebSense wykryły nowy atak (29 marca), przejęto około 28 tys. adresów URL, liczba ta wzrosła do 226 tys. w bardzo krótkim czasie. Obecnie większość ofiar pochodzi z USA (ponad 42%), liczba komputerów z Polski jest niewielka, prawdopodobnie dlatego, że narzędzie nie zostało jeszcze zlokalizowane, wszystkie napisy są po angielsku.
Wielogłowa Hydra
Aby zablokowanie ataku było możliwie trudne, zastosowano więcej niż jeden stopień przekierowania. Po udanym przekierowaniu z pierwszej zarażonej strony przeglądarka ma pobrać zawartość z jednej z wielu domen, rozsiewających złośliwe oprogramowanie. Jedną z takich domen jest na przykład defender-nibea.in, ale podobnych domen zarejestrowano bardzo wiele na fałszywe konta pocztowe. Rozpoznanie tych domen pokazało, że zostały zarejestrowane w celu przekierowania do podsieci IP (m.in. 46.252.130.200) należącej do AS25190; KIS-AS UAB "Kauno Interneto Sistemos". Podobne domeny zarejestrowano w celu przekierowania do adresów IP należących do AS6739; ONO-AS "Cableuropa - ONO" (np. 84.123.115.228).
Skrypt z obcej strony
Mechanizm ataku zakłada hostowanie skryptu JavaScript, który przekieruje przeglądarkę osoby odwiedzającej, by wyświetlić powszechnie znany serwis oferujący fałszywe oprogramowanie antywirusowe. Początkowo do hostowania wykorzystywano domenę lizamoon.com, ale szybko wykorzystano także inne domeny. Atak ten zadziała tylko wtedy, gdy strony przegląda się za pomocą przeglądarki, która akceptuje skrypty JavaScript z każdej domeny (tak robi Internet Explorer oraz Firefox przy domyślnych ustawieniach), zatem pobieranie muzyki za pomocą iTunes albo użycie dodatku NoScript sprawia, że skrypt nie zostanie uruchomiony i atak się nie powiedzie.Patrick Runald z Websense Security Labs wyjaśnia: "iTunes pobiera feedy RSS/XML ze strony publikującej podcasty, by aktualizować ich listę. Prawdopodobnie feedy te zostały zarażone wstrzykniętym kodem, niemniej zaletą iTunes jest kodowanie tagów, co oznacza, ze skrypt nie zostanie wykonany na komputerze ofiary". Przy tym ataku skrypt pobrany na przykład z domeny LizaMoon.com przekieruje do fałszywej strony, która wyświetli informację o rzekomym zawirusowaniu komputera i zaproponuje instalację fałszywego antywirusa o nazwie Windows Stability Center.