Zagrożone ataki internetowe w sieci Web Zmiana paradygmatu bezpieczeństwa

Tradycyjne systemy bezpieczeństwa mogą być nieskuteczne i stać się przestarzałe w odpieraniu ataków internetowych przeprowadzanych przez kraje, według Val Smith, założyciela firmy Attack Research. Nowe trendy ataków obejmują spam blogowy i zastrzyki SQL z Rosji i Chin, powiedział Smith podczas swojego wystąpienia w Source Security Security Showcase w piątek.

"Atak po stronie klienta jest tam, gdzie idzie paradygmat" - powiedział Smith. "Monolityczne systemy bezpieczeństwa przestały działać."

Hakerzy używają przeglądarek internetowych jako narzędzi wykorzystywanych do rozprzestrzeniania złośliwego oprogramowania i zbierania poufnych informacji. Smith użył przykładów od klientów swojej firmy, która analizuje i bada ataki komputerów, aby zademonstrować zagrożenie stwarzane przez spam w blogach i ataki SQL.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Atakujący na celowniku - wyeliminuj witryny ze spamem blogowym i zamieszczaj komentarze na blogach - powiedział. Komentarze wydawały się dziwne i zwykle zawierały zwroty w języku innym niż angielski, umieszczone w dużych blokach tekstu z przypadkowymi słowami, które były hiperłączami, powiedział. Kliknięcie takich linków zabrało użytkowników do stron, które wyglądały jak blogi, ale były stronami ładowanymi przez złośliwe oprogramowanie, powiedział Smith.

Chiński serwer był właścicielem domen dla każdej witryny szkodliwego oprogramowania, ale adresy IP (protokoły internetowe) były śledzone do Niemiec. Badanie powiązań wykazało, że każdy zawierał słowa w języku rosyjskim lub rumuńskim, powiedział Smith. Umieszczając międzynarodowy spisek na swojej nikczemnej działalności, hakerzy mają nadzieję, że zdezorientują kogoś badającego ich pracę, powiedział.

"Jak zamierzasz śledzić tych złych facetów?" powiedział, zauważając, że śledzenie jest utrudnione przez bariery językowe, współpracę z zagranicznymi organizacjami prawnymi i zajmowanie się krajami, "które mogą nie chcieć z nami rozmawiać".

Podczas gdy cele ataków spamowych na blogach pozostają niejasne, Smith powiedział, że zachęty finansowe służyć jako motywacja. Adware zainstalowane po tym, jak użytkownik odwiedza zainfekowaną witrynę, zarabia pieniądze hakera, podobnie jak kliknięcie reklamy na stronie. Inni hakerzy chcą rozszerzyć swoje botnety lub sieci zainfekowanych maszyn używanych do złych celów.

Śledztwo Smitha prześledziło ataki na konto DSL w Rosji. Międzynarodowy charakter incydentu sprawił, że ściganie stało się mało prawdopodobne, powiedział.

Atak na wstrzyknięcie SQL, o którym mówił Smith, pochodzi z Chin i próbował ukraść informacje na temat firm, które odwiedziły stronę internetową firmy, która była klientem Smitha.

Hakerzy uruchomili najpierw iniekcję SQL i przesłali tylne drzwi, które pozwoliły im przejąć kontrolę nad systemem.

Dodatkowe iniekcje SQL nie powiodły się, więc hakerzy przeszukali system pod kątem innego exploita. Znaleźli aplikację biblioteki, która pozwala na przesyłanie zdjęć. Hakerzy przesłali plik GIF z linią kodu zawartą w obrazie. System komputerowy odczytał znacznik GIF i przesłał zdjęcie, a następnie automatycznie wykonał kod.

Hakerzy "wybrali" aplikację, która została napisana specjalnie na miejscu i uruchomiła konkretny atak przeciwko tej aplikacji, "powiedział Smith.

Hakerzy ostatecznie umieścili kod HTML "iFrame" na każdej stronie internetowej firmy. IFrames przekierował przeglądarkę ofiary na serwer, który infekuje komputer za pomocą narzędzia o nazwie "MPack". To narzędzie profilowało system operacyjny i przeglądarkę ofiary i przeprowadzało ataki oparte na tych informacjach.

Rezultatem jest to, że ofiary są atakowane wieloma atakami, powiedział Smith.

Dzisiaj ataki typu SQL injection są największym zagrożeniem dla bezpieczeństwa w Internecie, - powiedział Ryan Barnett, dyrektor ds. bezpieczeństwa aplikacji w Breach Security, w wywiadzie oddzielonym od konferencji.

W ubiegłym roku cyberprzestępcy rozpoczęli masowe ataki internetowe, których bezpieczeństwo przekroczyło 500 000 witryn sieci Web, twierdzi sprzedawca bezpieczeństwa.

"Rozpoczęli w styczniu i przejechali w zasadzie przez cały rok", powiedział Barnett. Wcześniej tworzenie ataku typu SQL injection wymagało czasu, ale w ubiegłym roku atakujący stworzyli kod robaka, który bardzo szybko wyszukał i roztrzaskał się na setki tysięcy witryn.

Teraz, zamiast kradnąc dane z zaatakowanych witryn sieci Web, złoczyńcy coraz częściej obracają się i umieszczają złośliwe skrypty atakujące odwiedzających witrynę. "Teraz strona staje się składem złośliwego oprogramowania", powiedział.

(Bob McMillan z San Francisco przyczynił się do tego raportu.)