vrijdag 17 juni 2011

Grootschalige aanval op 30.000 sites

De afgelopen acht dagen zijn 30.000 websites gehackt en voorzien van malware.Volgens beveiligingsbedrijf Armorize gaat het om een "mass meshing" injectie-aanval. In tegenstelling tot 'mass SQL-injectie-aanvallen', die de afgelopen jaren vaak voorkwamen, gebruiken de aanvallers nu geen SQL-injectie om toegang tot de website te krijgen. 

In dit geval beschikken de aanvallers over de FTP-inloggegevens en kunnen zo de kwaadaardige code op de website plaatsen. Het grote verschil tussen SQL-injectie-aanvallen en 'Mass meshing' is de redirect naar de kwaadaardige website met exploits, die ongepatchte internetgebruikers kunnen infecteren. Bij Mass meshing wordt het redirect script in de root directory van de website geplaatst. 

Het geplaatste bestand heet sidename.js, en is een geobfusceerd script dat een iframe genereert dat naar de exploit server wijst. Bij de recente aanvallen gaat het om de websites frankieeus.ru, gaufridboris.ru, stephanos.ru, waarop de BlackHole exploitkit draait. 

Blacklist 
Door het gebruik van mass meshing zijn er geen statisch geïnjecteerde redirects die beveiligingsbedrijven kunnen detecteren, aldus Armorize. Elke redirect is in dit geval een besmet domein, wat betekent dat blacklisting lastiger wordt en er meer kans op false positives is. 

Op dit moment gebruiken de aanvallers alleen het bestand sidename.js, dat te blacklisten is. Gaan de aanvallers over op dynamisch gegenereerde namen, dan wordt detectie volgens Armorize een stuk lastiger. Is de aanval succesvol, dan wordt er een backdoor geïnstalleerd die door 3 van de 42 virusscanners wordt herkend.

Geen opmerkingen:

Een reactie posten