在5月中,臺灣有許多網站遭受了爆量的Mass SQL Injection攻擊,初步估計有超過10萬臺電腦受害。在短短不到1周的時間,同樣一批黑客,又利用Adobe Flash播放器的漏洞,再度發動攻擊。
資安專家表示,從這幾波黑客的攻擊手法可以發現,這一批黑客,其實是在測試整個Mass SQL Injection攻擊的效率與成效。黑客的目的其實是要找到好用的攻擊手法,在更短的時間內控制更多計算機,進而竊取計算機的數據。
以機器人程序發動大量SQL Injection攻擊
4月底,歐美地區就發現大量的Mass SQL Injection攻擊手法。5月中,資安公司阿碼科技的研究人員,從安裝在企業端的網絡應用程序防火牆(WAF),發現這種攻擊已經波及臺灣,他們進一步分析發現,單就5月16日一天,至少就有1萬個網站被這個攻擊手法植入惡意程序,而被植入惡意連結的網頁則高達10萬個。
黑客的攻擊手法,是先利用Google搜尋有SQL漏洞的網站服務器,再以SQL Injection手法入侵。阿碼科技資安顧問丁性佃表示,Google搜尋引擎會禁止同一個IP來源在短時間內大量搜尋,一旦有類似行爲,Google搜尋引擎就會要求使用者輸入圖形驗證碼(CAPTCHAs)或禁止搜尋。丁性佃說,黑客可以大量利用Google搜尋,可能是事先掌控了大量的傀儡計算機,做到以自動化程序大量搜尋有SQL 漏洞的網站,並發動攻擊。
黑客用Flash漏洞 測試攻擊手法精準度
第一波的Mass SQL Injection攻擊主要是針對網站服務器,攻擊端的IP來源出自中國大陸。敦陽科技資深資安技術顧問楊伯瀚表示,在第一波攻擊中被植入惡意程序的網站服務器,被黑客利用來發動第二波攻擊,黑客鎖定一般使用者計算機Flash播放器的漏洞,只要瀏覽這些受駭網站的計算機,沒有修補Flash程序的漏洞,那麼惡意程序就有可能入侵成功,進而控制計算機。
數聯資安研發處副總經理張裕敏表示,「這一波Adobe Flash的攻擊中,在5月30日凌晨零點零分就截止,是一個有時效性的攻擊手法,」
張裕敏推測,目前看來黑客是在測試攻擊手法的成效與精準度。當黑客成功驗證了以Google Hacking搭配Mass SQL Injection手法,可以在短時間內攻陷大量網站服務器,進而控制更多瀏覽網站的計算機之後,也就意味着,這批黑客對受害計算機的掌握度已經到「如入無人之境」的地步。
接下來,黑客就可以在受害計算機大量安裝遙控的機器人程序,除了可以利用這些傀儡計算機發動DDoS攻擊(分佈式阻斷式攻擊),更可以趁機竊取、販賣計算機裏的個人與企業機密數據數據圖利。
雙管齊下 解決SQL Injection老問題
臺灣企業對於SQL Injection攻擊手法,經常處於束手無策的狀態,楊伯瀚表示,多數人都抱持「以拖待變」的心態,只要個人或公司沒受害、沒見報就好。這樣的狀況不改變,SQL Injection的問題就會繼續存在。
面對SQL Injection攻擊的惡性循環,敦陽科技技術顧問劉俊雄認爲,一定得多管齊下才有機會根絕,他說,正本清源之道是修改原始碼,包括源碼檢測(Code Review)、網站掃描(Web Scan)以及滲透測試(Penetration Testing)等方式。
若無法即及修改原始碼,則可利用Web應用程序防火牆(WAF)作爲防禦、應急之用.