調查局：企業應防範大規模資料隱碼攻擊
更新日期:2008/05/25 13:37
http://tw.news.yahoo.com/article...5/5/zx2p.html

（中央社記者林長順台北二十五日電）調查局近來發現駭客集團利用來自中國為主的中繼站，對台灣企業網站進行大規模的資料隱碼（SQL Injection）攻擊，整體受害情況難以估算，應有數萬網頁受害。調查局推估，以目前攻擊成功累積的速度來看，這波攻擊應該是以程式自動化攻擊，受害網站數量仍在持續增加中。

　　資料隱碼攻擊（SQL injection）又稱為隱碼攻擊，發生於應用程式資料庫層的安全漏洞。若在程式輸入的資料字串中夾帶SQL指令，這些指令會被伺服器誤認為是正常的SQL指令而執行，資料庫因而遭到破壞。

　　調查局指出，這次大規模攻擊事件，目的應為藉由資料隱碼攻擊，在企業網站放置掛馬網頁，再以此攻擊瀏覽網站的使用者。民眾連上受害的企業網站後，將會連結到特定網址下載惡意程式，個人資料可能因此遭入侵而外洩，影響民眾權利甚鉅。

　　調查局資訊室與坊間資安公司合作分析後，發現這次攻擊透過大量遙控方式，短時間遠端遙控多台跳板電腦，藉由已知的漏洞，對台灣企業網站進行資料隱碼攻擊。由於這次攻擊行為並非直接竄改網頁，而是直接修改資料庫內容，受害企業往往很難發現攻擊行為。

　　調查局表示，企業若要偵測是否遭到資料隱碼攻擊，可以搜尋web log，了解資料庫中是否有dEcLaRe、cUrSoR、fEtCh、cAsT等異常字串；企業也可以檢查資料庫內容是否有被安插字串，如果網站遭到攻擊，欄位中的資料均會被安插前述字串。

　　另外，企業也可以使用搜尋引擎，輸入site:與公司網址，即可初步測知是否有遭植入惡意連結。970525

真的是恐怖...
我有看到另一則新聞

爆量SQL Injection攻擊自動化 上千個臺灣網站遭攻擊

大量SQL Injection攻擊，4月底在歐美爆發，不到半個月的時間，就蔓延到亞洲。臺灣遭到大量SQL Injection攻擊的網站，一天就有超過200個網站、將近2,000個網頁被植入惡意連結。

從4月底開始，在歐美陸續發生大量SQL Injection（隱碼攻擊）攻擊事件，而這樣的攻擊手法，在短短半個月時間，就已經從歐美蔓延到亞洲，臺灣、中國的網站更是首當其衝。根據資安公司觀察，此次駭客發動的大量SQL Injection攻擊，受駭網站不乏知名企業和公益組織，光是臺灣網域（.tw），就已經有近2,000筆網頁，被植入惡意連結，甚至出現單一網站被植入221個惡意程式。

SQL Injection長期以來，名列多種Web攻擊手法排名榜前2名。IBM ISS資安研究中心X-Force日前就曾經指出，「全球超過50萬個網站遭到第三波大量SQL Injection攻擊。」資安公司阿碼科技（Armorize）由部署在企業端的應用程式防火牆的記錄發覺，這種大量SQL Injection攻擊已經從歐美蔓延到亞洲。

阿碼科技從客戶端應用程式防火牆記錄中，發現大量具有相同特徵的SQL Injection攻擊。該公司執行長黃耀文表示，根據5月16日當天的統計，光是臺灣網域（.tw）的網站，就有215個網站遭到大量SQL Injection攻擊，至少有1,988個不同網頁，被植入大量惡意連結，而中國網域（.cn）的網頁，也有超過4,600個惡意連結。

黃耀文說，這些被植入惡意連結的臺灣網站，每天的瀏覽數量高達10萬次。他說，其中也發現有單一網站，被植入221個惡意連結。黃耀文表示，這個統計只是針對單一惡意連結的統計結果。

阿碼科技資安技術顧問古貴安在發現這樣的攻擊手法後，第一時間回溯追蹤駭客攻擊流程，他循線找到駭客用來記錄此次攻擊成效的網站。在資料仍處於公開的行況下，取得了駭客記錄攻擊結果的資料。他分析5月16日的駭客攻擊成果發現，至少有1萬個網站成功植入惡意程式，相關的惡意連結則高達10萬個。

若一步分析，古貴安指出，攻擊者以自動化程式搭配Google搜尋引擎，找到有SQL漏洞的網站，將惡意連結植入資料庫中。「整個過程已經自動化，比起先前人工作業的SQL Injection攻擊，先進行掃描再入侵的方式，自動化攻擊的效率和數量都大為增加。」他說。

阿碼科技艾克索夫資安實驗室首席資安顧問邱銘彰表示，從這一波大量SQL Injection攻擊首度發現，自動化SQL Injection攻擊加上自動化搜尋引擎尋找目標，以及可以自動化散布進行網頁掛馬的蠕蟲。以前駭客進行SQL Injection攻擊，是使用手動工具，且有目的的攻擊，邱銘彰表示：「但這一次駭客透過自動化SQL Injection蠕蟲的感染方式，讓資料庫的每一個欄位，都可能被安插惡意連結或是被改寫。」

阿碼科技資安顧問余俊賢指出，這次駭客只用一行攻擊碼就成功入侵，將惡意連結注入到後端資料庫，將惡意連結安插在所有資料庫的欄位中。他說，因為程式碼只有一行，很難在Log（記錄檔）檔中發現。

更有甚者，邱銘彰表示，以往企業用戶杜絕SQL Injection攻擊的方式之一，是關閉錯誤訊息以預防自動化工具的掃描，但這一次的攻擊並不需要透過錯誤代碼查詢入侵途徑。「只要注入點未作輸入資料驗證，注入SQL Injection漏洞即可完成攻擊。」余俊賢說，這也使得一些認為已經關閉錯誤訊息就可以高枕無憂的網站，仍大量遭到SQL Injection攻擊。

邱銘彰指出，另外一個值得關注的現象，是被植入惡意連結、惡意程式的受駭電腦，一旦電腦遭駭客控制，就會變身成為攻擊其他電腦的加害者。余俊賢補充說明，這次駭客第一波攻擊的對象，多是流量大、處理器運算功能佳的網站，將這波網站成功植入惡意程式後，再藉由這些網站去攻擊其他的網站。「駭客正在布局，等待一個零時差攻擊（Zero Day Attack）的機會，再一次爆發。」余俊賢說。

古貴安表示，這一次駭客自動化的SQL Injection攻擊，主要是利用包含微軟IE瀏覽器MS06-014、MS07-017，以及RealPlayer、迅雷等程式的漏洞進行攻擊。黃耀文指出，這次許多駭客攻擊主機的IP位址位於中國，加上許多惡意程式都經過加殼（Pack），一般防毒軟體對於這樣的攻擊手法的辨識率很低。

某醫學中心的分院網站遭受到此次攻擊。該分院資訊主管表示，在4月份就出現小規模的攻擊，這次因為遇到假日，臺北總院的IT人員從頻寬和流量監控發現異常現象後，因為資料庫被大量改寫，為了確保資料安全性，便將網站伺服器關閉1天，進行後續的補救措施。

該主管表示，面對這樣的攻擊手法，醫院有意重新安裝資料庫作業系統，並重新修補所有系統與程式漏洞，希望能夠降低遭到SQL Injection攻擊的機會。在流量監控上，也透過封鎖外部IP和特定通訊埠，並暫時禁止醫院其他部門修改網頁內容的權限。不過，該主管指出，先前一些大規模網路攻擊，該醫院可能因為有防備或事先預警躲過一劫，「但網路攻擊手法層出不窮，在沒有百分之百的防禦方式下，面對各種網路威脅與攻擊手法，醫院只能在成本與技術的綜合評估下，戒慎恐懼的面對每一次的網路威脅。」該IT主管說。

面對層出不窮的SQL Injection攻擊，IBM ISS全球資安策略總監Gunter Ollmann表示，除了在軟體開發上，謹守SDLC（軟體開發生命周期）的開發準則外，「每天、每周持續針對Web應用程式進行掃描，每年至少2次的弱點評估（VA）或滲透測試（PT），是有效的預防方式。」他說。

企業如何自我檢查是否遭到SQL Injection攻擊？土法煉鋼的方式就是利用搜尋引擎加上適當的關鍵字，例如SQL攻擊字串或者是惡意網址，就可以自我檢查企業網站是否被植入惡意連結。余俊賢指出，企業除了可以申請免費試用的Hack Alert服務外，也可以透過搜尋Web Log是否有特定SQL攻擊字串，並看該Log是否回應HTTP 200埠。
他說：「若Web Log有回應HTTP 200埠，就表示企業已經被入侵。」

古貴安指出，大量SQL Injection攻擊主要是針對資料庫，並伺機植入惡意連結。他說，企業的資料庫管理人員面對這一波的攻擊趨勢時，應該要檢查資料庫內容是否遭到任何竄改，若有，除了進行資料庫的復原作業外，也應該修補網站所有程式碼的SQL Injection漏洞，避免駭客再次入侵，竊取網站資料。文⊙黃彥棻

大量SQL Injection攻擊所利用的軟體漏洞列表

● MS06-014 [CVE-2006-0003]
● MS07-017 [CVE-2007-1765]

● RealPlayer IERPCtl.IERPCtl.1 [CVE-2007-5601]

● GLCHAT.GLChatCtrl.1 [CVE-2007-5722]

● MPS.StormPlayer.1 (暴風影音) [CVE-2007-4816]

● QvodInsert.QvodCtrl.1(QVod Player) [BID-27271] 尚無CVE編號

● DPClient.Vod (迅雷) [CVE-2007-6144]

● BaiduBar.Tool.1(Baidu Toolbar) [CVE-2007-4105]

● VML Exploit[CVE-2006-4868,MS06-055]

● PPStream [CVE-2007-4748]

資料來源：阿碼科技，2008年5月


新聞來源: ITHOME

真的是太可怕了！
難道不能夠反攻嗎？
還是阻擋？