深入解析Mass SQL Injection 文/iThome(記者)2008-07-24
從攻擊的對象、攻擊手法的更新與規模來看,亞洲地區的攻擊,可說在技術上較為成熟且快速,攻擊對象也較具有經濟效益。這種攻擊手法採用了既有的入侵手法、重新組合,只要了解其中的特質及可能受影響的各種系統,就能協助你擬定可行的防禦措施。近期的Mass SQL Injection攻擊,讓整個華語地區的企業IT陷入恐慌的氣氛,IT人員深感無力,對廠商更有迫切的壓力。其實,只要心態上如履薄冰,做法上扎實穩健,看清攻擊手法的本質後,在IT人與廠商共同配合之下,應該可以度過難關。
在亞洲地區擴大災情之前,其實在國外早有攻擊事件發生,只是規模不若亞洲地區。由於國外的攻擊事件,目標集中在學校(.edu)及組織(.org),而非企業或政府,所以並沒有引起亞洲地區的廣泛注意。
就筆者的觀察,假設此次Mass SQLInjection攻擊與國外的事件有關聯,則國外的攻擊事件可視為在亞洲地區大規模攻擊之前的測試場所。從攻擊的對象、攻擊手法的更新與規模來看,亞洲地區的攻擊,可說在技術上較為成熟且快速,攻擊對象也較具有經濟效益,很難不讓人聯想到攻擊之前的恐嚇行為,與攻擊成功之後的勒索取財等。
當然我們IT人員也不能處於挨打的局面,想要突破困境別無他法,俗話說:「攻擊是最好的防禦」。既然要反擊,總需要有個施力點,因此筆者想就此次的Mass SQL Injection攻擊,分享一些經驗及看法。另外,要打勝這場仗,千萬不要悶著頭幹,也請你的廠商一起來幫忙。
先攻陷資料庫、網站,接著綁架個人端電腦,最後,發動大量攻擊注意!這次的攻擊路徑與方式並非是全新的型態,而是將舊的手法重新組合!
從圖中我們可以看出來:對伺服器的攻擊屬於SQL Injection類型,至於對使用者電腦入侵則是使用網路釣魚(Phishing)手法。
以往駭客是建立一些含有惡意程式的網站,然後透過電子郵件、即時通訊、部落格等途徑,誘騙使用者上當,進而瀏覽這些網站。只不過,這次駭客不再被動地等魚上鉤,而是主動讓正常的網站變成魚餌,讓使用者在不知不覺中已經上鉤。
筆者將此次的攻擊大致上可分成3階段:
第1階段:Mass SQL Injection駭客鎖定具有SQL Injection漏洞的網站伺服器及後端的資料庫伺服器,執行Mass SQLInjection。這些漏洞包含靜態網頁中HTML的text、radiobutton、checkbox和option等表單項目,加上動態網頁中的資料庫伺服器內容,以及網頁呈現會使用到的應用程式,如Flash。
前兩者利用的目標是傳統的SQLInjection,後者則利用應用程式的bug,但皆可將攻擊步驟製作成全自動攻擊工具並大量散播。這部分就如同某些資訊安全廠商所公布的,當自動化工具產生後,攻擊的來源會擴大,攻擊的速度也隨之增快。結果就是將惡意程式或惡意連結植入靜態網頁、資料庫伺服器和Flash中。
第2階段:鎖定使用者電腦 這個階段包含3個步驟,當使用者瀏覽這些遭到攻陷的網站時,被駭客植入的惡意程式或惡意連結,會將使用者的連線重新導引至惡意程式所在的伺服器,然後,從中下載更多的惡意程式,例如特洛依木馬、後門、USB病毒和遠端控制程式。這些做法,無非是為了綁架這些使用者的電腦,以便後續利用,甚至有可能透過USB病毒,持續在企業內部擴大綁架範圍。
第3階段:商業行為這個階段才是最終目的。這些被綁架的電腦成為被利用的工具及商品,換句話說,當駭客接單後,依金主(非雇主)的要求發動對競爭對手的DDoS攻擊,或是以恐嚇方式迫使目標付出金錢。目前已知的駭客商業行為,通常是在異地接單後,在異地遙控本地被綁架的電腦執行攻擊行為,在電腦犯罪的蒐證上具有相當的難度。
資料庫、伺服器、網路等系統,全部受影響在這種情況下,對企業而言,最明顯會受影響的IT系統有好幾種,分別是:
網站伺服器網站伺服器可能因SQL Injection漏洞而被利用,或是成為第三階段勒索取財的攻擊目標。例如,前陣子某大遊戲網站遭到恐嚇及DDoS攻擊,就是很明顯的例子。
後端的資料庫系統資料庫系統可能因前端網站伺服器的漏洞,再加上本身對寫入的資料控管很薄弱,而成為儲存注入資料的溫床。然而當攻擊發動,侵襲到這部分時,企業要根除異常的資料,必須付出相當大的代價。
使用者電腦使用者電腦是駭客的生財工具,絕對是他們打算攻占的場所。但是,現在的攻擊已經不同以往,會盡量讓受攻擊的系統正常運作,當需要發動攻擊時,才會聯合不同的使用者電腦集中火力,同時發動針對特定目標的大量連線。
對外網路頻寬除了IT系統受影響外,當DDoS攻擊發生時,廣域網路(WAN)的頻寬一定會受到衝擊。這時企業的WAN頻寬被大量占用,可能會波及正常的業務營運。即使企業的網路規畫是將網際網路服務和使用者網路區隔開來,雖然網際網路端的處理可以獨立運作,但那時所影響的,就是使用者網路和公司的商譽。
內部網路頻寬由內部使用者電腦產生對外的攻擊連線,也勢必會對內部區域網路(LAN)的使用效率大打折扣。當內網頻寬受到影響時,甚至有可能會讓企業日常運作停擺、錯失商機。例如,財務人員無法結算薪資,業務人員無法連上內網伺服器而不能查到正確的價格或成本,導致案子競爭失敗,或者是老闆連不上郵件主機。
與營運相關的伺服器若下載的惡意程式中還包含USB病毒,則會進一步使影響層面再擴大,IT人員忙於清除病毒,形成IT人員的大量負擔。因此,就會分散注意力,他們疏於管理那些與企業營運相關的伺服器,導致潛在的風險升高。
6種建議防禦措施我建議,應該回歸到攻擊手法的本質來進行防禦工事,而不以前端後端來考慮。針對SQL Injection的防禦,可以採特效藥和治本等兩種方式進行。
網頁應用程式防火牆所謂特效藥就是架設網頁應用程式防火牆(Web ApplicationFirewall,WAF),利用這類產品本身的防禦機制,配合廠商的專業經驗和知識,在最短時間內達到防護。使用WAF的好處在於快速,效果也不錯,當企業面臨傳統的SQL Injection攻擊時,有相當大的比例可以阻擋下來。但缺點就是當駭客SQLInjection的手法改變時,有可能會失效。此時只能依賴產品原廠的更新和建置/維護廠商的水準了。
修改網頁和程式原始碼治本的方式就只有修改源碼一途。但是,源碼並不用全部變更。第一階段可以僅針對任何進入點(entrypoint)來修改,例如前述的text、radiobutton、checkbox和option等表單元件;第二階段則是注意由輸入點而後送資料的中間程式,再檢查一次這個地方;第三階段就是在寫入資料庫之前,由資料庫伺服器端執行最後一次檢查。
架設內部網路防火牆在網站伺服器和資料庫伺服器之間,我建議再針對內部網路架設一臺防火牆,嚴格管制資料庫伺服器端主動發出的網路連線。基本上資料庫伺服器是提供服務、供其他系統存取的伺服器,很少對用戶端主機提出服務要求。若情況不允許這樣的架構,則可以在網際網路端的防火牆上設定,禁止資料庫伺服器對外的主動連線。而不同廠牌的資料庫伺服器,本身通常也具備有一些安全性機制,這些也對防禦都有一定程度的幫助。
注意應用程式漏洞的修補與防堵比較特別的是本次攻擊又特別針對Flash的漏洞。對廠商及伺服器系統管理者而言,只有更密切注意Adobe的漏洞修補工作。當然也可以考慮串聯Flash的使用者,向Adobe施壓,迫使他們盡快產生Patch,使整體防禦狀態達到完整。之前Adobe在臺灣既然執行了大規模的軟體合法授權的稽核行動,去檢查客戶是否購買足夠數量的授權,現在也是他們該展現相對服務品質的時候了。
Proxy伺服器盡量維持閘道與端點安全,端點(Endpoint)的部分,就需要管理者和使用者一同努力。管理者可以在Proxy伺服器先行阻擋已知的URL網址,更可以同時配合特定廠商的網頁過濾產品,達到雙重防護,例如微軟ISAServer、Websense、趨勢IWSS等。使用者的電腦就是要配合更新作業,例如都能安裝到最新的作業系統修補程式,以及將防毒軟體的病毒碼和掃毒引擎安裝到最新版本。若公司本身有ActiveDirectory的架構,更可以考慮將相關的資安政策套用至群組原則物件(GPO)中,同時落實在資安政策面和技術面。
請ISP幫忙最後一道防線需要ISP協助。當前面的防禦措施都不見效果,這時最有可能發生DDoS的攻擊,絕對需要ISP配合,由他們將特定的連線進行限頻,或是阻擋來降低DDOS的影響。若DDoS的效果遠低於駭客的預期,原本綁架用戶端電腦的作用就大打折扣了,而且那些作為商業行為的「商品」,挾持它們的價值,也會貶低至缺乏販賣意義。
舊方法重新組裝,依然能夠造成重大損害這次駭客攻擊並非是新型態的攻擊手法,而是將舊的手法重新組合,因此我們只要能看清這部份的事實,針對目前已知的攻擊手法去防範,就可以收到很不錯的效果。
資料來源:iThome online
原文出處:http://www.ithome.com.tw/itad...?c=49947&s=1
