SQL-angreb tager igen til i styrke

Et botnet af hackede computere er vækket til live i løbet af de sidste par dage og begyndt at inficere websites, så de kan angribe intetanende besøgendes computere.

Af Robert McMillan

Publiceret d. 6. oktober 2009 kl. 07.02

Send

Annonce:

ANNONCE:

Computerworld News Service: Botnettet Asprox, der er opkaldt efter det toolkit, der bruges i angrebene, er aktivt igen. Botnettet fik en del medieopmærksomhed i maj og juni, da det inficerede omkring 10.000 websider på flere end 1.000 domæner. Ofrene var typisk små virksomheder, skoler og statslige websites i USA.

"Dette botnet er nu igen aktivt efter flere måneder uden aktivitet," skriver Gary Warner, som er forskningsleder i kriminalteknisk datalogi (eng.: computer forensics) ved University of Alabama at Birmingham, i et blogindlæg torsdag.

Sikkerhedsleverandøren SecureWorks blev opmærksom på angrebene "for et par dage siden", da virksomheden opdagede en stigning i såkaldte SQL-injektioner mod virksomhedens klienter, fortæller Jason Milletary, som er sikkerhedsforsker hos virksomheden. Det står dog ikke klart, om angrebene er lige så smitsomme som tidligere, oplyser han.

I et SQL-injektionsangreb udnytter de kriminelle fejl i database-programmeringen for at snyde websites til at acceptere deres angrebskode. Asprox automatiserer denne SQL-injektionsproces, så botnettet kan på meget kort tid tilføje malware til mange websites.

Asprox placerer en stump JavaScript-kode på det hackede website, som genererer et usynligt html-element, kaldet en iFrame, som derefter kører angrebskoden. Adskillige indsamlede prøver af den aktuelle Asprox-kode udnytter, ifølge Warner, en fejl i Adobes Flash Player.

Startet forfra?
Forskere fra sikkerhedsorganisationen Shadowserver oplyser, at de har opdaget flere end 2.000 websider, der er blevet inficerede i den seneste bølge af Asprox-angreb, hvilket er langt færre end ved den første version af malwaren.

Mike Johnson fra Shadowserver oplyser i et e-mail-interview, at folkene bag Asprox har ændret konfigurationsfil-strukturen i deres kode og tilføjet nye "command and control"-computere, som de ikke tidligere har brugt.

"Det ser nærmest ud som om, de starter helt forfra, efter de tabte kontrollen over det forrige botnet," fortæller han.

Asprox er ikke på nuværende tidspunkt et større problem for de fleste internet-brugere, mener sikkerhedseksperterne. Botnettet er blot endnu en påmindelse om de lurende farer på nettet.

"Folk bør forvente skadelige websites," siger Johnson. "Folk bør forvente, at ellers uskyldige sites bliver kompromitterede på den ene eller den anden måde, og derefter forsøger at angribe browseren."

Oversat af Thomas Bøndergaard