image

Nine-ball hackeraanval dendert voort

dinsdag 23 juni 2009, 11:32 door Redactie, 3 reacties

De grootschalige hack van 40.000 websites die vorige week werd gemeld, is nog altijd gaande en onderzoekers die beweren dat de impact wel meevalt, hebben er niet voldoende kaas van gegeten, aldus Websense. De "Nine-ball" aanval werkt als de meeste webaanvallen vandaag de dag. Legitieme sites worden gehackt en voorzien van een exploit, die weer bezoekers infecteert. In het geval van Nine-ball gaat het om een oud lek in Windows en de AOL SuperBuddy, een QuickTime-lek uit 2007 en drie lekken in Acrobat Reader, te weten uit 2007, 2008 en 2009.

Sinds de aanval in de media kwam, is het aantal sites iets gedaald. Toch gaat het nog steeds om 30.000 websites. "Net als iedereen volgen aanvallers het nieuws. Als ze weten dat je hen volgt, veranderen ze hun koers. Verwacht dus veranderingen in de payload sites en het gebruik van andere hosts om naar door te verwijzen."

Kritiek
Volgens concurrent ScanSafe is het nieuws rondom Nine-ball enorm opgeblazen en zou het helemaal niet om zoveel gehackte websites gaan. Het bedrijf kreeg namelijk geen waarschuwingen op de eigen sensoren. "Deze aanval is zo goed als niet bestaand." Mary Landesman van ScanSafe vraagt zichzelf af of het wel terecht was om er een blogposting aan te wijden. De kritiek is ook bij Websense aangekomen. "De Nine-ball" aanval is complexer dan de meeste aanvallen, en moeilijker voor onervaren onderzoekers om te volgen en te begrijpen."

Deze onervaren onderzoekers zouden alleen maar naar grote websites kijken om te zien of er een grootschalige aanval plaatsvindt. "De bewering dat het niet om een grootschalige aanval gaat is fout. Groot of klein, populair of niet, als tienduizenden websites worden gehackt, is dat zeker iets om te volgen en te bevestigen." De aanvallers weten de websites waarschijnlijk via gestolen FTP-gegevens te infecteren. Deze analyse gaat dieper op de aanval in.

Reacties (3)
23-06-2009, 11:38 door SirDice
De aanvallers weten de websites waarschijnlijk via gestolen FTP-gegevens te infecteren. Deze analyse gaat dieper op de aanval in.
1 regel gaat over de aanval op de servers zelf:

Our assumption is that attackers were able to infect these sites by using compromised FTP credentials to log into systems (most likely in an automated fashion).
Een assumption is een aanname. Zeker weten doen ze het dus niet en ook dit artikel gaat meer over de gevolgen nadat een site gekraakt is. Ik wil nu wel eens weten hoe ze die sites kraken.
23-06-2009, 12:04 door Anoniem
@ sirdice

Dit gebeurt op basis van een blind sql injection, de meeste sites die besmet zijn, zijn ook sites van kleinere bedrijven en particulieren die hun beveiliging niet goed op orde hebben.

Mvg

-Reverze
23-06-2009, 12:26 door SirDice
Waarom vind ik nergens een analyse daarvan? Dat zou kunnen helpen om sites hier tegen te beveiligen. Lijkt me als website eigenaar wel prettig om te weten dat jouw site hier geen onderdeel van kan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.