调查局：企业应防范大规模资料隐码攻击
更新日期:2008/05/25 13:37
http://tw.news.yahoo.com/article...5/5/zx2p.html

（中央社记者林长顺台北二十五日电）调查局近来发现骇客集团利用来自中国为主的中继站，对台湾企业网站进行大规模的资料隐码（SQL Injection）攻击，整体受害情况难以估算，应有数万网页受害。调查局推估，以目前攻击成功累积的速度来看，这波攻击应该是以程式自动化攻击，受害网站数量仍在持续增加中。

　　资料隐码攻击（SQL injection）又称为隐码攻击，发生于应用程式资料库层的安全漏洞。若在程式输入的资料字串中夹带SQL指令，这些指令会被伺服器误认为是正常的SQL指令而执行，资料库因而遭到破坏。

　　调查局指出，这次大规模攻击事件，目的应为藉由资料隐码攻击，在企业网站放置挂马网页，再以此攻击浏览网站的使用者。民众连上受害的企业网站后，将会连结到特定网址下载恶意程式，个人资料可能因此遭入侵而外泄，影响民众权利甚钜。

　　调查局资讯室与坊间资安公司合作分析后，发现这次攻击透过大量遥控方式，短时间远端遥控多台跳板电脑，藉由已知的漏洞，对台湾企业网站进行资料隐码攻击。由于这次攻击行为并非直接窜改网页，而是直接修改资料库内容，受害企业往往很难发现攻击行为。

　　调查局表示，企业若要侦测是否遭到资料隐码攻击，可以搜寻web log，了解资料库中是否有dEcLaRe、cUrSoR、fEtCh、cAsT等异常字串；企业也可以检查资料库内容是否有被安插字串，如果网站遭到攻击，栏位中的资料均会被安插前述字串。

　　另外，企业也可以使用搜寻引擎，输入site:与公司网址，即可初步测知是否有遭植入恶意连结。970525

真的是恐怖...
我有看到另一则新闻

爆量SQL Injection攻击自动化 上千个台湾网站遭攻击

大量SQL Injection攻击，4月底在欧美爆发，不到半个月的时间，就蔓延到亚洲。台湾遭到大量SQL Injection攻击的网站，一天就有超过200个网站、将近2,000个网页被植入恶意连结。

从4月底开始，在欧美陆续发生大量SQL Injection（隐码攻击）攻击事件，而这样的攻击手法，在短短半个月时间，就已经从欧美蔓延到亚洲，台湾、中国的网站更是首当其冲。根据资安公司观察，此次骇客发动的大量SQL Injection攻击，受骇网站不乏知名企业和公益组织，光是台湾网域（.tw），就已经有近2,000笔网页，被植入恶意连结，甚至出现单一网站被植入221个恶意程式。

SQL Injection长期以来，名列多种Web攻击手法排名榜前2名。IBM ISS资安研究中心X-Force日前就曾经指出，「全球超过50万个网站遭到第三波大量SQL Injection攻击。」资安公司阿码科技（Armorize）由部署在企业端的应用程式防火墙的记录发觉，这种大量SQL Injection攻击已经从欧美蔓延到亚洲。

阿码科技从客户端应用程式防火墙记录中，发现大量具有相同特征的SQL Injection攻击。该公司执行长黄耀文表示，根据5月16日当天的统计，光是台湾网域（.tw）的网站，就有215个网站遭到大量SQL Injection攻击，至少有1,988个不同网页，被植入大量恶意连结，而中国网域（.cn）的网页，也有超过4,600个恶意连结。

黄耀文说，这些被植入恶意连结的台湾网站，每天的浏览数量高达10万次。他说，其中也发现有单一网站，被植入221个恶意连结。黄耀文表示，这个统计只是针对单一恶意连结的统计结果。

阿码科技资安技术顾问古贵安在发现这样的攻击手法后，第一时间回溯追踪骇客攻击流程，他循线找到骇客用来记录此次攻击成效的网站。在资料仍处于公开的行况下，取得了骇客记录攻击结果的资料。他分析5月16日的骇客攻击成果发现，至少有1万个网站成功植入恶意程式，相关的恶意连结则高达10万个。

若一步分析，古贵安指出，攻击者以自动化程式搭配Google搜寻引擎，找到有SQL漏洞的网站，将恶意连结植入资料库中。「整个过程已经自动化，比起先前人工作业的SQL Injection攻击，先进行扫描再入侵的方式，自动化攻击的效率和数量都大为增加。」他说。

阿码科技艾克索夫资安实验室首席资安顾问邱铭彰表示，从这一波大量SQL Injection攻击首度发现，自动化SQL Injection攻击加上自动化搜寻引擎寻找目标，以及可以自动化散布进行网页挂马的蠕虫。以前骇客进行SQL Injection攻击，是使用手动工具，且有目的的攻击，邱铭彰表示：「但这一次骇客透过自动化SQL Injection蠕虫的感染方式，让资料库的每一个栏位，都可能被安插恶意连结或是被改写。」

阿码科技资安顾问余俊贤指出，这次骇客只用一行攻击码就成功入侵，将恶意连结注入到后端资料库，将恶意连结安插在所有资料库的栏位中。他说，因为程式码只有一行，很难在Log（记录档）档中发现。

更有甚者，邱铭彰表示，以往企业用户杜绝SQL Injection攻击的方式之一，是关闭错误讯息以预防自动化工具的扫描，但这一次的攻击并不需要透过错误代码查询入侵途径。「只要注入点未作输入资料验证，注入SQL Injection漏洞即可完成攻击。」余俊贤说，这也使得一些认为已经关闭错误讯息就可以高枕无忧的网站，仍大量遭到SQL Injection攻击。

邱铭彰指出，另外一个值得关注的现象，是被植入恶意连结、恶意程式的受骇电脑，一旦电脑遭骇客控制，就会变身成为攻击其他电脑的加害者。余俊贤补充说明，这次骇客第一波攻击的对象，多是流量大、处理器运算功能佳的网站，将这波网站成功植入恶意程式后，再藉由这些网站去攻击其他的网站。「骇客正在布局，等待一个零时差攻击（Zero Day Attack）的机会，再一次爆发。」余俊贤说。

古贵安表示，这一次骇客自动化的SQL Injection攻击，主要是利用包含微软IE浏览器MS06-014、MS07-017，以及RealPlayer、迅雷等程式的漏洞进行攻击。黄耀文指出，这次许多骇客攻击主机的IP位址位于中国，加上许多恶意程式都经过加壳（Pack），一般防毒软体对于这样的攻击手法的辨识率很低。

某医学中心的分院网站遭受到此次攻击。该分院资讯主管表示，在4月份就出现小规模的攻击，这次因为遇到假日，台北总院的IT人员从频宽和流量监控发现异常现象后，因为资料库被大量改写，为了确保资料安全性，便将网站伺服器关闭1天，进行后续的补救措施。

该主管表示，面对这样的攻击手法，医院有意重新安装资料库作业系统，并重新修补所有系统与程式漏洞，希望能够降低遭到SQL Injection攻击的机会。在流量监控上，也透过封锁外部IP和特定通讯埠，并暂时禁止医院其他部门修改网页内容的权限。不过，该主管指出，先前一些大规模网路攻击，该医院可能因为有防备或事先预警躲过一劫，「但网路攻击手法层出不穷，在没有百分之百的防御方式下，面对各种网路威胁与攻击手法，医院只能在成本与技术的综合评估下，戒慎恐惧的面对每一次的网路威胁。」该IT主管说。

面对层出不穷的SQL Injection攻击，IBM ISS全球资安策略总监Gunter Ollmann表示，除了在软体开发上，谨守SDLC（软体开发生命周期）的开发准则外，「每天、每周持续针对Web应用程式进行扫描，每年至少2次的弱点评估（VA）或渗透测试（PT），是有效的预防方式。」他说。

企业如何自我检查是否遭到SQL Injection攻击？土法炼钢的方式就是利用搜寻引擎加上适当的关键字，例如SQL攻击字串或者是恶意网址，就可以自我检查企业网站是否被植入恶意连结。余俊贤指出，企业除了可以申请免费试用的Hack Alert服务外，也可以透过搜寻Web Log是否有特定SQL攻击字串，并看该Log是否回应HTTP 200埠。
他说：「若Web Log有回应HTTP 200埠，就表示企业已经被入侵。」

古贵安指出，大量SQL Injection攻击主要是针对资料库，并伺机植入恶意连结。他说，企业的资料库管理人员面对这一波的攻击趋势时，应该要检查资料库内容是否遭到任何窜改，若有，除了进行资料库的复原作业外，也应该修补网站所有程式码的SQL Injection漏洞，避免骇客再次入侵，窃取网站资料。文⊙黄彦棻

大量SQL Injection攻击所利用的软体漏洞列表

● MS06-014 [CVE-2006-0003]
● MS07-017 [CVE-2007-1765]

● RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]

● GLCHAT.GLChatCtrl.1 [CVE-2007-5722]

● MPS.StormPlayer.1 (暴风影音) [CVE-2007-4816]

● QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚无CVE编号

● DPClient.Vod (迅雷) [CVE-2007-6144]

● BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]

● VML Exploit[CVE-2006-4868,MS06-055]

● PPStream [CVE-2007-4748]

资料来源：阿码科技，2008年5月


新闻来源: ITHOME

真的是太可怕了！
难道不能够反攻吗？
还是阻挡？