Udenlandske webangreb Skift sikkerhedsparadigm

Traditionelle sikkerhedssystemer kan være ineffektive og blive forældede til at afværge webangreb lanceret af lande, ifølge Val Smith, grundlægger af Attack Research. Nye angrebstendenser omfatter blogspam og SQL-indsprøjtninger fra Rusland og Kina, sagde Smith under sin tale i Source Boston Security Showcase på fredag.

"Client-side angreb er, hvor paradigmet går," sagde Smith. "Monolitiske sikkerhedssystemer virker ikke længere."

Hackere bruger webbrowsere som udnyttelsesværktøjer til at sprede malware og indsamle følsomme oplysninger. Smith brugte eksempler fra firmaets kunder, som analyserer og undersøger computerangreb, for at demonstrere truslen fra blogspam og SQL-angreb.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Attackers målrettet højt -traffic sites med blog spam og udsendte kommentarer på blogs, sagde han. Kommentarerne så mærkeligt og tendens til at have ikke-engelske sætninger placeret i store tekstblokke med tilfældige ord hyperlinkede, sagde han. Når der klikkes på sådanne links, tog brugerne til websteder, der lignede blogs, men blev sider lastet med malware, sagde Smith.

En kinesisk bank ejede domænerne for hvert malware-websted, men IP-adresserne (Internet Protocol) spores til Tyskland. At studere forbindelserne afslørede, at hver enkelt indeholdt ord på russisk eller rumænsk, sagde Smith. Ved at placere et internationalt omdrejningstal på deres falske aktiviteter håbede hackerne at forvirre nogen, der undersøger deres arbejde, sagde han. "

" Hvordan skal du spore disse tilbage til de onde? " sagde han og bemærkede at sporing er kompliceret af sprogbarrierer, arbejder med udenlandske lovorganisationer og beskæftiger sig med lande ", som måske ikke vil gerne tale med os."

Mens målene for blog-spamangreb forbliver uklare, sagde Smith økonomiske incitamenter tjene som motivation. Adware installeret, efter at en bruger besøger et inficeret websted nets en hacker penge, ligesom det klikker på en annonce på siden. Andre hackere søger at udvide deres botnets eller netværk af kompromitterede maskiner, der anvendes til ondskabsfuldt formål.

Smiths undersøgelse spore angrebene på en hjemme DSL-konto i Rusland. Den internationale karakter af hændelsen gjorde uskyldige retsforfølgelser usandsynligt, sagde han.

SQL-indsprøjtningsangrebet, som Smith drøftede, stammer fra Kina og forsøgte at stjæle oplysninger om de virksomheder, der besøgte virksomhedens websted, som var Smiths klient.

Hackere lancerede først en SQL-indsprøjtning og uploadede en bagdør, der tillod dem at tage kontrol over systemet.

Yderligere SQL-indsprøjtninger mislykkedes, så hackerne søgte systemet til en anden udnyttelse. De fandt en biblioteksapplikation, der gør det muligt at uploade billeder. Hackere uploadede en GIF-fil med en kodekode indeholdt i billedet. Computersystemet læste GIF-taggen og uploadede billedet og udførte automatisk koden.

Hackere "målrettede en app, der er skræddersyet, internt og lancerede et specifikt angreb mod den pågældende app," sagde Smith. > Hackere placerede til sidst "iFrame" HTML kode på hver side af virksomhedens hjemmeside. IFrames omdirigeret offerets browser til en server, der inficerer computeren ved hjælp af et værktøj kaldet "MPack." Dette værktøj profilerede et offers operativsystem og browser og lancerede angreb baseret på disse oplysninger.

Resultatet er, at ofre bliver ramt af flere angreb, siger Smith.

I dag er SQL-indsprøjtningsangreb den største trussel mod websikkerhed, sagde Ryan Barnett, direktør for applikationssikkerhed ved Breach Security i et interview, der er adskilt fra konferencen.

I fjor begyndte cyberkriminelle at udløse massive webangreb, der har kompromitteret mere end 500.000 websteder, ifølge sikkerhedsleverandøren.

"De startede i januar og gik igennem stort set hele året," sagde Barnett. Tidligere skabte angrebsmænd et SQL-indsprøjtningsangreb tid, men i fjor skabte angribere orm kode, der automatisk kunne søge og bryde ind i hundredtusinder af websteder meget hurtigt.

Nu, i stedet for at stjæle data fra de hackede websteder, drejer de onde i stigende grad sig om og planter ondsindede scripts, der angriber webstedets besøgende. "Nu bliver webstedet et malware depot," sagde han.

(Bob McMillan i San Francisco bidrog til denne rapport.)