深入解析Mass SQL Injection 文/iThome(记者)2008-07-24
从攻击的对象、攻击手法的更新与规模来看,亚洲地区的攻击,可说在技术上较为成熟且快速,攻击对象也较具有经济效益。这种攻击手法采用了既有的入侵手法、重新组合,只要了解其中的特质及可能受影响的各种系统,就能协助你拟定可行的防御措施。近期的Mass SQL Injection攻击,让整个华语地区的企业IT陷入恐慌的气氛,IT人员深感无力,对厂商更有迫切的压力。其实,只要心态上如履薄冰,做法上扎实稳健,看清攻击手法的本质后,在IT人与厂商共同配合之下,应该可以度过难关。
在亚洲地区扩大灾情之前,其实在国外早有攻击事件发生,只是规模不若亚洲地区。由于国外的攻击事件,目标集中在学校(.edu)及组织(.org),而非企业或政府,所以并没有引起亚洲地区的广泛注意。
就笔者的观察,假设此次Mass SQLInjection攻击与国外的事件有关联,则国外的攻击事件可视为在亚洲地区大规模攻击之前的测试场所。从攻击的对象、攻击手法的更新与规模来看,亚洲地区的攻击,可说在技术上较为成熟且快速,攻击对象也较具有经济效益,很难不让人联想到攻击之前的恐吓行为,与攻击成功之后的勒索取财等。
当然我们IT人员也不能处于挨打的局面,想要突破困境别无他法,俗话说:「攻击是最好的防御」。既然要反击,总需要有个施力点,因此笔者想就此次的Mass SQL Injection攻击,分享一些经验及看法。另外,要打胜这场仗,千万不要闷着头干,也请你的厂商一起来帮忙。
先攻陷资料库、网站,接着绑架个人端电脑,最后,发动大量攻击注意!这次的攻击路径与方式并非是全新的型态,而是将旧的手法重新组合!
从图中我们可以看出来:对伺服器的攻击属于SQL Injection类型,至于对使用者电脑入侵则是使用网路钓鱼(Phishing)手法。
以往骇客是建立一些含有恶意程式的网站,然后透过电子邮件、即时通讯、部落格等途径,诱骗使用者上当,进而浏览这些网站。只不过,这次骇客不再被动地等鱼上钩,而是主动让正常的网站变成鱼饵,让使用者在不知不觉中已经上钩。
笔者将此次的攻击大致上可分成3阶段:
第1阶段:Mass SQL Injection骇客锁定具有SQL Injection漏洞的网站伺服器及后端的资料库伺服器,执行Mass SQLInjection。这些漏洞包含静态网页中HTML的text、radiobutton、checkbox和option等表单项目,加上动态网页中的资料库伺服器内容,以及网页呈现会使用到的应用程式,如Flash。
前两者利用的目标是传统的SQLInjection,后者则利用应用程式的bug,但皆可将攻击步骤制作成全自动攻击工具并大量散播。这部分就如同某些资讯安全厂商所公布的,当自动化工具产生后,攻击的来源会扩大,攻击的速度也随之增快。结果就是将恶意程式或恶意连结植入静态网页、资料库伺服器和Flash中。
第2阶段:锁定使用者电脑 这个阶段包含3个步骤,当使用者浏览这些遭到攻陷的网站时,被骇客植入的恶意程式或恶意连结,会将使用者的连线重新导引至恶意程式所在的伺服器,然后,从中下载更多的恶意程式,例如特洛依木马、后门、USB病毒和远端控制程式。这些做法,无非是为了绑架这些使用者的电脑,以便后续利用,甚至有可能透过USB病毒,持续在企业内部扩大绑架范围。
第3阶段:商业行为这个阶段才是最终目的。这些被绑架的电脑成为被利用的工具及商品,换句话说,当骇客接单后,依金主(非雇主)的要求发动对竞争对手的DDoS攻击,或是以恐吓方式迫使目标付出金钱。目前已知的骇客商业行为,通常是在异地接单后,在异地遥控本地被绑架的电脑执行攻击行为,在电脑犯罪的搜证上具有相当的难度。
资料库、伺服器、网路等系统,全部受影响在这种情况下,对企业而言,最明显会受影响的IT系统有好几种,分别是:
网站伺服器网站伺服器可能因SQL Injection漏洞而被利用,或是成为第三阶段勒索取财的攻击目标。例如,前阵子某大游戏网站遭到恐吓及DDoS攻击,就是很明显的例子。
后端的资料库系统资料库系统可能因前端网站伺服器的漏洞,再加上本身对写入的资料控管很薄弱,而成为储存注入资料的温床。然而当攻击发动,侵袭到这部分时,企业要根除异常的资料,必须付出相当大的代价。
使用者电脑使用者电脑是骇客的生财工具,绝对是他们打算攻占的场所。但是,现在的攻击已经不同以往,会尽量让受攻击的系统正常运作,当需要发动攻击时,才会联合不同的使用者电脑集中火力,同时发动针对特定目标的大量连线。
对外网路频宽除了IT系统受影响外,当DDoS攻击发生时,广域网路(WAN)的频宽一定会受到冲击。这时企业的WAN频宽被大量占用,可能会波及正常的业务营运。即使企业的网路规画是将网际网路服务和使用者网路区隔开来,虽然网际网路端的处理可以独立运作,但那时所影响的,就是使用者网路和公司的商誉。
内部网路频宽由内部使用者电脑产生对外的攻击连线,也势必会对内部区域网路(LAN)的使用效率大打折扣。当内网频宽受到影响时,甚至有可能会让企业日常运作停摆、错失商机。例如,财务人员无法结算薪资,业务人员无法连上内网伺服器而不能查到正确的价格或成本,导致案子竞争失败,或者是老板连不上邮件主机。
与营运相关的伺服器若下载的恶意程式中还包含USB病毒,则会进一步使影响层面再扩大,IT人员忙于清除病毒,形成IT人员的大量负担。因此,就会分散注意力,他们疏于管理那些与企业营运相关的伺服器,导致潜在的风险升高。
6种建议防御措施我建议,应该回归到攻击手法的本质来进行防御工事,而不以前端后端来考虑。针对SQL Injection的防御,可以采特效药和治本等两种方式进行。
网页应用程式防火墙所谓特效药就是架设网页应用程式防火墙(Web ApplicationFirewall,WAF),利用这类产品本身的防御机制,配合厂商的专业经验和知识,在最短时间内达到防护。使用WAF的好处在于快速,效果也不错,当企业面临传统的SQL Injection攻击时,有相当大的比例可以阻挡下来。但缺点就是当骇客SQLInjection的手法改变时,有可能会失效。此时只能依赖产品原厂的更新和建置/维护厂商的水准了。
修改网页和程式原始码治本的方式就只有修改源码一途。但是,源码并不用全部变更。第一阶段可以仅针对任何进入点(entrypoint)来修改,例如前述的text、radiobutton、checkbox和option等表单元件;第二阶段则是注意由输入点而后送资料的中间程式,再检查一次这个地方;第三阶段就是在写入资料库之前,由资料库伺服器端执行最后一次检查。
架设内部网路防火墙在网站伺服器和资料库伺服器之间,我建议再针对内部网路架设一台防火墙,严格管制资料库伺服器端主动发出的网路连线。基本上资料库伺服器是提供服务、供其他系统存取的伺服器,很少对用户端主机提出服务要求。若情况不允许这样的架构,则可以在网际网路端的防火墙上设定,禁止资料库伺服器对外的主动连线。而不同厂牌的资料库伺服器,本身通常也具备有一些安全性机制,这些也对防御都有一定程度的帮助。
注意应用程式漏洞的修补与防堵比较特别的是本次攻击又特别针对Flash的漏洞。对厂商及伺服器系统管理者而言,只有更密切注意Adobe的漏洞修补工作。当然也可以考虑串联Flash的使用者,向Adobe施压,迫使他们尽快产生Patch,使整体防御状态达到完整。之前Adobe在台湾既然执行了大规模的软体合法授权的稽核行动,去检查客户是否购买足够数量的授权,现在也是他们该展现相对服务品质的时候了。
Proxy伺服器尽量维持闸道与端点安全,端点(Endpoint)的部分,就需要管理者和使用者一同努力。管理者可以在Proxy伺服器先行阻挡已知的URL网址,更可以同时配合特定厂商的网页过滤产品,达到双重防护,例如微软ISAServer、Websense、趋势IWSS等。使用者的电脑就是要配合更新作业,例如都能安装到最新的作业系统修补程式,以及将防毒软体的病毒码和扫毒引擎安装到最新版本。若公司本身有ActiveDirectory的架构,更可以考虑将相关的资安政策套用至群组原则物件(GPO)中,同时落实在资安政策面和技术面。
请ISP帮忙最后一道防线需要ISP协助。当前面的防御措施都不见效果,这时最有可能发生DDoS的攻击,绝对需要ISP配合,由他们将特定的连线进行限频,或是阻挡来降低DDOS的影响。若DDoS的效果远低于骇客的预期,原本绑架用户端电脑的作用就大打折扣了,而且那些作为商业行为的「商品」,挟持它们的价值,也会贬低至缺乏贩卖意义。
旧方法重新组装,依然能够造成重大损害这次骇客攻击并非是新型态的攻击手法,而是将旧的手法重新组合,因此我们只要能看清这部份的事实,针对目前已知的攻击手法去防范,就可以收到很不错的效果。
资料来源:iThome online
原文出处:http://www.ithome.com.tw/itad...?c=49947&s=1
