SANS lüftet das Mysterium der 10.000 infizierten W

Seite Januar gab es etliche Berichte, dass eine große Anzahl von Webseiten Malware beherbergt. Auch bekannte Seiten waren von den iFrame-Attacken betroffen.

Seither hat man vielerorts gerätselt, wie dieser Massenangriff möglich war. Die Experten vermuteten bereits, dass es sich um Attacken mittels SQL-Einspeisung handelt. Am 15.04.2008 bekam das SANS Internet Storm Center eine weitere Seite zugespielt, die Schadcode beinhaltete. Doch diesmal fand man die ausführbare Datei, die vermutlich von den bösen Buben benutzt wurde.

Man hatte bereits eine Ahnung, wie die Angriffe vor sich gingen. Ebenso wusste man, dass die Attacken automatisiert waren. Über die genaue Funktionsweise wusste man jedoch nichts. Die Taktik ist allerdings relativ simpel. Die Cracker benutzten Suchmaschinen, um potentiell angreifbare Applikationen zu finden. Danach attackierte man diese. Der Exploit ist lediglich ein SQL-Befehl. Dieser versucht ein Script-Tag in jede HTML-Seite der Webseite einzufügen. Das gefundene Werkzeug macht genau dies für den Anwender. Die GUI ist in chinesischer Sprache gehalten.


Nach einer Code-Analyse fand man die einzelnen Arbeitsschritte des Werkzeugs heraus. Der Anwender kann den in die Seite zu einsetzenden Tag manuell konfigurieren. Per Standard würde das Tool das Schnippsel http://www.2117966 (Punkt) net/fuckjp.js injizieren. Danach verbindet sich das Werkzeug zu einer Seite in China. Man vermutet, dass man die Angreifer bezahlen muss, weil ein Script namens pay.asp aufgerufen wird. Als nächsten Schritt kann der Anwender das Tool starten. Es verbindet sich nun zu Google und sucht nach verwundbaren Seiten. Für das „Crawling“ verwendet das Werkzeug einen eingebetteten Browser, der auf bsalsa basiert. Ist eine verwundbare Seite gefunden, wird eine Attacke via SQL-Einspeisung gefahren. Wie das genau vor sich geht müsse man bei SANS erst noch genauer untersuchen. Gut sei die Bestätigung, dass es sich um SQL-Einspeisungen gehandelt habe. Weitere Informationen und ein Bild des bösartigen Werkzeugs finden Sie bei SANS. Um auf der sicheren Seite zu sein sollten Administratoren ihre Applikationen und Webseiten auf Sicherheit überprüfen. (jdo)

sql Code:

DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR
FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE
a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN
Table_Cursor FETCH NEXT FROM  Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''
''')FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor
DEALLOCATE Table_Cursor
;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(
%20AS%20NVARCHAR(4000));EXEC(@S);-- 
 

SANS lüftet das Mysterium der 10.000 infizierten Webseiten | Server - News | TecChannel.de
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc